Antes de adentrarmos as principais características que levaram a sanção da Lei Geral de Proteção aos Dados Pessoais (LGPD) – Lei nº13.709/2018 é importante mencionarmos, mesmo que brevemente, a evolução epistemológica sobre as tentativas de regulamentação e aprimoramento sobre os dados pessoais e dos consumidores no Brasil.

Neste sentido, em tempos pretéritos, deve-se destacar como marco teórico o artigo 5º da Constituição Federal que cumpre expressamente como arcabouço protetivo aos dados de todos os cidadãos e consumidores, não restando dúvidas sobre a conservação das informações presentes nos cadastros de fornecedores e bancos de dados que podem “perturbar” a vida privada.

No que tange a regulamentação do inciso XII do artigo 5º da Constituição Federal, a Lei nº 9.296/1996 objetivou o tratamento sobre a proteção dos dados e regulamentação em face das interceptações em relação ao fluxo de comunicação em sistema de informática bem como aquelas relacionadas a telefonia.

À vista disso, houve a regulamentação da Lei de Acesso à Informação – Lei nº 12.527/2011 onde, o principal objetivo era estabelecer procedimentos capazes de garantir o direito de acesso as informações e à transparência para o acompanhamento da gestão pública, assim como aos dados processados em qualquer meio, formato ou suporte.

Nesta linha, temos a Lei Complementar 105/2001 que trata sobre à proteção do sigilo em relação as operações financeiras (impossibilidade de troca de informações entre instituições financeiras) bem como a Lei nº 12.414/2011, referente ao Cadastro Positivo – principal regulamentação sobre os dados sensíveis das pessoas físicas, e pela proteção em razão dos consumidores.

Logo após, houve a publicação da principal Lei de Regulamentação sobre Dados, intitulada Marco Civil da Internet – Lei nº 12.965/2014, cujo o principal objetivo é estabelecer as diretrizes do uso da rede mundial de computadores, guardando devida proteção aos dados e sua transmissão pela internet.

Na sequência, fez-se necessária uma melhor regulamentação sobre o tema, razão pela qual foi promulgada em 14 de agosto de 2018, a Lei nº 13.709, que passou a dispor sobre a proteção e o tratamento de dados pessoais, inclusive nos meios digitais, pela pessoa natural ou jurídica, de direito público ou privado, no intuito de proteger os direitos fundamentais de liberdade e de privacidade, e o livre desenvolvimento da personalidade da pessoa natural. Importante salientar que a vacatio legis estabelecida para este diploma jurídico foi pelo prazo de 24 meses, contados a partir da respectiva publicação.

Deve-se destacar que além dos benefícios trazidos pela nova lei, esta cumpriu por assegurar assento ao Brasil como um dos principais países ao tratamento e constatação sobre a devida importância em razão do tema.

Com inspiração no General Data Protection Resolution, regulamentação elaborada pela União Europeia, a legislação brasileira entendeu a necessidade de regulamentar a proteção de dados e garantir privacidade aos indivíduos, com o objetivo de oferecer controle aos cidadãos sobre seus dados pessoais, estabelecendo parâmetros para as empresas e outras organizações atuantes no Brasil no tratamento dado as informações pessoais de pessoas naturais identificadas ou identificáveis.

Conforme mencionado, em que pese haver diversas Leis tratando sobre o tema, nenhuma delas cumpriu com a expectativa e principalmente, com a efetividade de real proteção aos dados pessoais, sendo de suma importância a sanção da nova Lei. Nesse sentido, no ordenamento jurídico brasileiro, em razão de não haver legislação especifica sobre o tratamento de dados pessoais, capaz de prever mecanismos efetivos de tutela, tais como previsão de autoridade competente a fim de fiscalizar a atividade ou de normas específicas que estabeleçam os deveres e responsabilidades das empresas, com vistas a proteger a dignidade e os direitos fundamentais da pessoa, particularmente em relação à sua privacidade, as Leis preexistentes se mostraram ineficazes, senão vejamos, o que afirma a jurista Joana Machado:

O fato é que o modelo brasileiro se revela genérico, insatisfatório e lacunoso. Necessita de urgente regulamentação por legislação específica para a proteção de dados pessoais, com previsão expressa de que toda informação só possa ser objeto de tratamento para atingir a finalidade para a qual foi disponibilizada. As informações só poderão ser transmitidas a terceiros, com o expresso consentimento do seu titular. Acrescente-se a estes requisitos, a imposição de sanções civil, penal e administrativa pelo descumprimento das regras de proteção de dados.[1]

Em que pese a existência de normas que tratam e garantem o direito à privacidade e ao sigilo de comunicações, estas não conseguiam acoplar todas as conjunturas vivenciadas atualmente, o que levou o Poder Legislativo a dispor normas com o intuito de garantir a proteção de dados pessoais.

Com a entrada em vigor da nova lei, principalmente as pessoas jurídicas de direito público e privado, que lidam com a coleta de dados pessoais, deverão rever todos os seus procedimentos a fim de adequar as exigências legais impostas.

A nova legislação tem como finalidade a proteção à privacidade e prevenção de utilização dos dados excessivos, inclusive daqueles sobre informações que envolvam a indenidade (aquela que está livre de prejuízo, que não sofreu dano) do consumidor.

Para tanto, são partes na relação principal da relação de dados aqueles que a lei denomina de titular (art. 5º, inc. V, da Lei 13.709/18), o controlador (art. 5º, inc. VI, da Lei nº13.709/18) e o operador (art. 5º, inc. VII, da Lei nº 13.709/18), além da previsão do encarregado e da autoridade nacional de proteção de dados.

Assim, o legislador cuidou em trazer a definição de dados pessoais, confirmando que toda e qualquer informação relacionada a pessoa natural identificada ou identificável, obtida por pessoas físicas e jurídicas, de direito público ou privado, como por exemplo nome, número de documentos, endereço, preferencias, condutas de consumo, etc. são considerados dados pessoais, o que requer o resguardo da lei supramencionada (art. 1º c/c art. 5º, inc. I, ambos da Lei nº 13.709/18).

Em face disso, qualquer que seja o ato praticado pelos prestadores ou fornecedores de serviços nas relações ligadas ao consumidor, caracteriza nítida vingança ou represália, representa subtração e impedimento da materialização do respectivo direito fundamental.

Oportunamente, o legislador fez questão de destacar a existência do que ele denominou de “dado pessoal sensível”, o que conforme o art. 5º, inc. II, da lei supramencionada, é aquele “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Nesse sentido, conforme mencionado, a Lei de Proteção de Dados teve sua inspiração em razão da codificação já existente na União Europeia, sendo importante atribuir atenção ao termo Data Protection Act, adotado no Reino Unido, que possui como principal objetivo, garantir ao indivíduo o direito de prevenir o processamento que possa causar qualquer dissabor que seja, ou, até mesmo, aquele que tenha a pretensão de ser beneficiado sobre o denominado marketing direto, resguardando a indevida utilização sobre os dados sensíveis e principalmente, cumprindo com os princípios basilares a preservação da vida privada, bem como a intimidade.

Desse modo, há de se entender que os dados podem ser tanto as informações que geram a identificação do indivíduo, quanto aqueles que, se cruzados com outros dados, possam lhe tornar identificável, ou seja, ainda que os dados sejam de um titular anônimo, ele será considerado dado para os fins dessa lei.

Nessa linha, passa-se a exigir a proteção destes dados, bem como o consentimento do titular, a informação quanto a finalidade da exigência de tais dados, entre diversos outros pontos, sob pena de responsabilização civil, criminal e administrativa, que poderá chegar até 2% (dois por cento) do faturamento, limitada a cinquenta milhões de reais, por cada infração (art. 52, da Lei 13.709/18).

Além da penalidade pecuniária, há de se considerar a existência de prejuízo a imagem e ao nome, uma vez que a lei exige a publicização da infração e do infrator, o que pode ser danoso em razão da quebra de confiança nos mecanismos de segurança, bem como a relação titular dos dados e controlador dos dados.

Quanto a competência, a norma jurídica excluiu de sua abrangência aqueles que tratam dados para fins meramente particulares e não econômicos; para fins jornalísticos, artísticos e acadêmicos; e, todo aquele realizado com o intuito exclusivo de resguardar a segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, da Lei nº 13.709/18).

Além disso, a utilização de dados de crianças e adolescentes deverá ser realizado em seu melhor interesse, sendo que os dados pessoais de crianças, apenas deverão ser realizados com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo seu responsável (art. 14, da Lei nº 13.709/18)

Em seu cerne, a nova lei elege como seu pilar o consentimento e o interesse legitimo para a captura de dados pessoais.

Quanto ao consentimento, a lei determina que qualquer dado pessoal precisa de autorização do titular, devendo ocorrer uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada (art. 5º, inc. XII, da Lei 13.709/18).

No tocante ao interesse legitimo, a referida lei prevê que o controlador somente poderá fundamentar tratamento de dados pessoais para finalidades especificas, considerando situações concretas (art. 10, da Lei 13.709/18). Nesse ponto, há de se destacar que o interesse legítimo deve ser entendido como um conceito amplo que define o motivo para uma organização coletar esse dado, devendo a princípio o consentimento do cidadão e o interesse legitimo da empresa estarem em sintonia.

Neste ponto, é necessário entender a importância do papel da Autoridade Nacional de Proteção de Dados (ANPD), autoridade prevista na LGPD e regulamentada posteriormente pela Medida Provisória nº 869/2018. A ANPD é o órgão criado com o intuito de elaborar diretrizes para uma política nacional de proteção de dados pessoais e privacidade, fiscalizar o cumprimento da Lei nº 13.709/18 e aplicar sanções nela previstas, dentre outras funções estabelecidas na lei (art. 55-A e seguintes, da Lei nº 13.709/18).

O legislador também previu a figura do encarregado (art. 5º, VIII, da Lei nº 13.709/18), inspirado no Data Protection Officer da legislação europeia. Assim, a pessoa natural ou jurídica que responde juridicamente pela coleta dos dados pessoais (o controlador) deve possuir um encarregado por aceitar reclamações dos titulares, prestar esclarecimentos, adotar providências, dialogar com a autoridade nacional, etc., ou seja, ter a função de fiscalização interna e atuar como porta-voz do controlador perante a autoridade fiscalizadora.

Todavia, a autoridade nacional poderá estabelecer normas complementares sobre as atribuições do encarregado, inclusive, as hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados (art. 41, §3º, da Lei nº 13.709/18).

Ainda, há de se destacar que a Lei Geral de Proteção aos Dados Pessoais concede ao titular dos dados pessoais, o direito de acesso, retificação, exclusão, bloqueio e eliminação de dados desnecessários ou excessivos da base de dados. Será concedido o direito a portabilidade de dados, a facilitação dos direitos em juízo e o direito de petição diretamente à Autoridade Nacional de Proteção de Dados.

Nesse sentido, tem-se, especialmente nas relações de consumo, a análise da intimidade em relação a vida privada em face dos direitos fundamentais do indivíduo sobre a concepção do conceito de ser deixado só (right to be let alone) de modo que a invasão excessiva e desnecessária a vida privada demonstra clara agressão à sua intimidade sob o aspecto do direito de ser deixado em paz, ou melhor, de estar só, sendo certo que a intimidade e a vida privada também exigem proteção.

Importante destacar que, com a entrada em vigor da Lei de Proteção de Dados Pessoais, será permitido a transferência internacional de dados pessoais entre países ou organizações que proporcionarem grau de proteção de dados em consonância com a legislação brasileira (art. 33, inc. I, da Lei nº 13.709/18); nas hipóteses em que não houver legislação, a autoridade poderá direcionar para contratos específicos a fim de resguardar a proteção de dados e privacidade (art. 33, inc. II, da Lei nº13.709/18); e, em demais hipóteses taxativamente previstas no rol fixado no art. 33, da Lei mencionada.

Por fim, há de se falar que a aprovação da Lei de Proteção de Dados pessoais foi ao encontro da tendência mundial quanto ao tema, e por tal motivo garantirá credibilidade às relações comerciais internacionais realizadas pelo Brasil. Assim, sem dúvidas, a Lei nº 13.709/18 representa ainda a posição equânime do Brasil com diversos outros países que possuem legislação sobre o tema e garante, de forma expressa, a importância da boa-fé no tratamento dos dados pessoais, exigindo transparência de quem lida com dados pessoais, buscando penalizar abusos e excessos através da definição da responsabilidade e o dever de indenizar.

Júlia Costa, com a colaboração de Bruno Castro

(31) 3261-8083