LGPD: origem e implicações

Daniel Martins Vidor é jornalista formado pela UFRGS (1998)
e bacharel em Direito (Uniritter, 2007).
Pós-graduando em European
Business Law e Human Rights for Open Societies.

Neste primeiro post de uma série na qual abordaremos a Lei Geral de Proteção de Dados – Lei 13.709/2018, vamos tratar das origens da lei e, principalmente, dos fundamentos da Privacidade como um Direito Humano essencial para o exercício da Democracia. Pragmaticamente, a lei entra em vigor em agosto de 2020, trazendo muitas novas responsabilidades para empresas e pessoas físicas que lidam com dados pessoais. Também traz muitas dúvidas quanto a sua execução e deixa muitos pontos em aberto, que ainda deverão ser definidos pela União ao longo de 2019. Toda lei ampla como essa, ao entrar em vigor, traz elementos de incerteza, o que é natural, em se tratando de nova legislação. No entanto, a lei prevê sanções administrativas de até R$ 50 milhões, além de congelamento ou perda dos dados sob infração. Além disso, a lei ainda determina que a empresa controladora e a operadora são civilmente responsáveis pelos danos individuais ou coletivos, patrimonial ou moral, estabelecendo uma responsabilidade solidária (1) [1].

Um breve roadmap dessa série de posts:

  1. Contexto e origem;
  2. Princípios da nova lei;
  3. Coleta de dados;
  4. Manter e processar dados;
  5. Dados sensíveis;
  6. Atores da nova lei;
  7. BigData, Data Science, Machine Learning, AI: um approach jurídico;

Nos anos 1960, surgiram os primeiros projetos de processamento de dados em larga escala e de forma centralizada, liderados pelos Estados Unidos e alguns países europeus. É nesse contexto que nasce a preocupação jurídica com proteção de dados pessoais. Essa preocupação mirava nos efeitos do uso do poder de processamento computacional e resultou no bloqueio de sua estruturação e na elaboração de normas focadas nos dados de proteção ao crédito (nos USA) e na disciplinação de atividades de bancos de dados eletrônicos (na Europa) (2).

A criação da Comunidade Econômica Europeia (CEE) (3) impulsionou a necessidade de uma legislação unificada para tratamento de dados. No entanto, os processos de regulação da União Europeia – que adotou essa denominação com o Tratado de Maastricht em 1992 – levam em conta a diversidade jurídica de seus membros. Assim, apenas em 1995 saiu a primeira legislação unificada europeia: Diretiva 95/46/EC[2]. Ela estabelecia a proteção dos indivíduos quanto ao processamento de seus dados pessoais e a circulação dos mesmos no ambiente da UE.

Em 2011, o European Data Protection Supervisor (EDPS) publicou uma Opinion, apontando a necessidade de avançar na legislação sobre dados pessoais. Em 2012, o European Council (EC) propõe endurecer a regulação sobre direito de privacidade e economia digital. Os anos de 2012 e 2013 foram de debates; até que em 2014 o European Parliament (EP) apoia a criação da General Data Protection Regulation. Em 2015, o EC e o EP fecham acordo sobre a GDPR e levam a legislação adiante. Em 27 de abril de 2016, é emitida a Regulation (EU) 2016/679, a GDPR da EU (4).

O panorama atual evidencia o crescimento dessa tendência globalmente. Mudanças significativas na legislação de inúmeros países estão fixando diretrizes claras, no sentido de mais privacidade e segurança de dados de pessoas naturais. No Brasil, esse movimento ganhou espaço, mas foram necessários oito anos de debates e redações legislativas, até que em agosto de 2018 o então presidente Michel Temer sancionasse a Lei Geral de Proteção de Dados do Brasil (LGPD), Lei 13.709/2018. A lei entra em vigor em agosto de 2020, modificação dada pela MP 869/2018- originalmente, a LGPD entraria em vigor em fevereiro de 2020.

Inegavelmente, o principal marco histórico foi o lançamento do General Data Protection Regulation da União Europeia. Além de ter se tornado a principal legislação sobre proteção de dados do mundo, a GDPR influenciou fortemente a legislação brasileira. Escândalos como o da Cambridge Analytica e Facebook, suspeição sobre disseminação de Fake News no Brexit e a suspeita de manipulação na eleição de Donald Trump fizeram os alarmes soarem por toda a União Europeia. E bem alto (5).

Na legislação brasileira, a Constituição Federal de 1988 em seu art. 5º, inciso X (6), e o Código Civil brasileiro, artigo 21 (7), fundamentam a proteção à privacidade. Ambos os comandos jurídicos visam defender dois aspectos: i) a vida privada da pessoa; ii) o direito à privacidade. No entanto, esse conceito de privacidade e vida privada já está superado. Tradicionalmente, o direito à privacidade está associado ao direito de ser deixado só, mas modernamente pode-se afirmar que a privacidade evoluiu, de modo a incluir em seu conteúdo situações de tutela de dados sensíveis, de permitir seu controle pelo titular e pelo respeito à liberdade das escolhas pessoais de caráter existencial (8). É nesse contexto que a lei 13.709 finalmente vêm a termo, ganhando um vacatio legis de 18 meses, alterado para 24 meses pela MP 869/2018, com entrada em vigor em agosto de 2020. A LGPD surge, assim como a GDPR, da constatação que os dados pessoais são um ativo econômico valioso, um dado político perigoso e um bem jurídico importante a ser tutelado pela legislação.

Mas o que a lei tutela, afinal? A LGPD tutela situações atinentes exclusivamente a operações de tratamento de dados. Vejamos o artigo 5º, inciso X, L13.709/2018:

“Art. 5º  Para os fins desta Lei, considera-se:

X – tratamento (é toda): toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”

Ou seja, se a sua empresa ou você praticam qualquer um desses atos listados na lei, sua atividade passa a ser regulada também por esse novo diploma legal. Outro ponto importante é seu potencial de impacto em operações tão diversas; da Pesquisa e Desenvolvimento ao Marketing, várias verticais serão afetadas. A Lei ainda estende sua aplicabilidade a entes públicos e privados, off-line ou online, regulando danos individuais ou coletivos, patrimoniais ou morais. Do ponto de vista da territorialidade, a LGPD entende que regulará qualquer operação de tratamento realizada por pessoa natural ou pessoa jurídica, seja de direito público ou privado, independente de por qual meio se deu a coleta, ou de onde está sua sede ou do país no qual estejam os dados, desde que: i) a operação de tratamento de dados seja realizada no Brasil; ii) o tratamento objetive oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; e iii) os dados pessoais objeto tenham sido coletados no território nacional, isto é, quando o titular dos dados aqui se encontre no momento da coleta (1) [3]. Nesse aspecto, a lei brasileira segue a GDPR europeia, estendendo significativamente a aplicabilidade territorial.

A Privacidade pode ser considerada como o direito da personalidade que mais sofreu transformações, desde que Warren e Brandeis elaboraram seu conceito tradicional de o “direito a ser deixado só” (9), até a sua concepção atual, que é caracterizada pela liberdade de autodeterminação informativa; ou seja, a capacidade de controlar as informações pessoais exercida pelo seu titular (10). No século XIX, a propriedade já era entendida como essencial ao desenvolvimento da personalidade do indivíduo na sociedade. Por consequência, o direito de propriedade era uma condição indispensável para se chegar à privacidade. No entanto, é importante não construirmos o discurso sobre a privacidade a partir da propriedade, pois isso acarreta muitos riscos (10). Se relacionarmos privacidade com propriedade, por meio de relações com o espaço, com a exclusão e com situações patrimoniais, a privacidade significaria, em tese, um direito baseado na exclusão. Historicamente, essa correlação da proteção da privacidade com a propriedade aparece em exemplos: a base da elaboração jurisprudencial das regras de proteção da privacidade nos países da common law ; a proteção da propriedade privada no caso brasileiro, percebe-se que todas as Constituições brasileiras, desde 1824, previram expressamente a inviolabilidade de domicílio e da correspondência como forma de tutela da privacidade (10). Desse modo, o nascimento da privacidade não se apresenta como a realização de uma exigência “natural” de cada indivíduo, mas como a aquisição de um privilégio por parte de um grupo, o dos proprietários.

A privacidade, no entanto, ao contrário dessa concepção patrimonialista, é expressão do princípio da dignidade da pessoa humana. Impõe-se como um direito tão importante que sem a proteção dessa garantia todos os outros direitos subjetivos seriam irrelevantes ao titular. O direito à privacidade deve ser assegurado como um mínimo invulnerável, merecedor de total atenção pelos mais diversos atores sociais. Na ótica de Tatiana Vieira (2007), a privacidade reveste-se como um direito fundamental de dimensão subjetiva[4] e também uma garantia de dimensão objetiva[5]. Na dimensão subjetiva, o direito à privacidade é a faculdade que cada pessoa tem de opor-se à intromissão de estranhos na sua intimidade e na sua vida privada, além de se autodeterminar e de controlar os próprios dados pessoais. Na dimensão objetiva, a privacidade configura-se como um dos valores fundamentais do ordenamento jurídico, pois representa a essência do Estado Democrático de Direito, já que proporciona o livre exercício da liberdade de consciência, de crença e de expressão (11).

Dentre várias teorias que tratam do tema, uma nos interessa: a Teoria dos Círculos Concêntrico de Heinrich Hubmann e Heinrich Henkel. Essa teoria foi adotada por um tempo pelo Tribunal Constitucional Alemão e depois abandonada. No entanto, apesar de suas limitações, traz conceitos-chave: as esferas pública, íntima e privada (10). Essa teoria torna o sistema jurídico de tutela à privacidade um espaço fechado, limitado aos três círculos, no qual o maior compreende o privatsphare – o direito à privacidade em sentido estrito. Depois, um círculo mediano que abarca o vertrauenssphare – o direito à intimidade; e finalmente o círculo central, que corresponde à geheimphare ou vertraulichkeitssphare – o direito ao segredo (12). Vale lembrar que no quesito quantidade de círculos ou esferas, não há consenso doutrinário. Há quem entenda, tal qual Hubman, que só existem duas esferas: a da intimidade e a da vida privada. Entretanto, há quem entenda que são pelo menos três as esferas da privacidade. A esfera maior é composta pela vida privada, que consiste em fatos e comportamentos que o titular não quer tornar público. Na esfera da vida privada, está um círculo mais reduzido, a esfera da intimidade, no qual estão as pessoas nas quais o titular deposita confiança e com as quais mantém intimidade. Na esfera mais interna, encontra-se o círculo do segredo, cujas informações não são compartilhadas. Se o forem, apenas umas poucas pessoas terão acesso a elas. No entanto, adverte-se que o estabelecimento destas esferas não é rígido, posto suas linhas divisórias serem flexíveis e elásticas, variando de acordo com a própria categoria social da qual o titular é oriundo (10).

É possível observar que a doutrina, em geral, ao mencionar esse direito fundamental, ressalta seu aspecto de direito negativo. Qual seja, um direito que se concede ao cidadão para que este exija a abstenção, a não intromissão do Estado e de terceiros em sua intimidade e sua vida privada. No entanto, esse mesmo direito, para que atinja todo o seu potencial e tenha plena eficácia, precisa ser interpretado sob o enfoque positivo: o Direito à Privacidade exige atuação do Poder Público, de tal forma que se criem os pressupostos fáticos que garantam a efetividade da garantia legal, vedando a omissão estatal diante das ameaças de terceiros. Ou seja, o Estado deve agir preventivamente para coibir o desrespeito do Direito à Privacidade (11).

O direito ao respeito da privacidade de uma pessoa é direito humano internacional global. Pode ser encontrado no artigo 12 da Declaração Universal dos Direitos Humanos (1948) (13), e sua forma jurídica consta no Pacto Internacional sobre os Direitos Civis e Políticos, de 1966 (14). Desses documentos, entende-se que qualquer interferência na privacidade deve estar sujeita ao consentimento dessa pessoa. O direito de consentir ou recusar a utilização de dados pessoais pertence ao indivíduo, não ao Estado. Além disso, o consentimento só é válido se o indivíduo souber exatamente o que está consentindo. Este aspecto jurídico exige limitação da finalidade em relação à coleta e ao uso de dados pessoais e proíbe o desvirtuamento desta função. Quando o Estado ou o Mercado interferem, coletando e utilizando dados pessoais, tal ato constitui invasão à privacidade do titular. Essa interferência, então, deve ser justificada pelas autoridades (15).

A coleta e o processamento de dados deve ser permitida por lei, a qual deve ser clara e pública, de modo que todos saibam seu conteúdo e como devem ajustar seu comportamento para estar de acordo com a regulação. Eis a importância da General Data Protection Regulation europeia e a Lei Geral de Proteção de Dados brasileira. Juridicamente, qualquer exceção autorizada a um Direito Humano deve ser sempre interpretada de forma restritiva. Ou seja, com parcimônia, sem interpretações que expandam o conteúdo da permissão. É preciso que exista um objetivo legítimo e uma necessidade de interferência para atingir unicamente esse objetivo[6].
A vigilância em massa, por sua própria natureza, não se destina especificamente a qualquer pessoa. Por isso, a possibilidade de justificar a interferência na esfera privada de qualquer pessoa, individualmente, é uma tarefa difícil. Sempre que essas técnicas de vigilância em massa foram utilizadas na Europa, o Tribunal de Direitos Humanos apontou incompatibilidades com o direito à privacidade. Vigilância em massa é, por definição, arbitrária (15).

No Brasil, a LGPD foi sancionada em agosto de 2018 e modificada pela MP 869/2018 em dezembro daquele ano. A lei entrará em vigor em agosto de 2020, regulando vários pontos sobre coleta e uso de dados.

No próximo post, vamos analisar os princípios da LGPD e entender, na prática, como eles afetam as atividade de coleta, armazenamento e processamento dos dados no Brasil.

Até lá!

Este trabalho não se constitui em uma orientação jurídica. O autor recomenda fortemente que casos jurídicos devem ser analisados e conduzidos por um profissional regularmente inscrito na OAB. Este ensaio constitui texto reflexivo sobre o campo do Direito e os desdobramentos da Lei Geral de Proteção de Dados, considerando as implicações de Tecnologia da Informação e é voltado essencialmente ao público não-jurista.

 

REFERÊNCIAS

1.         Lei Geral de Proteção de Dados BR [Internet]. Lei 13.709 Aug 14, 2018. Available from: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm

2.         Doneda D. Um Código para a proteção de dados pessoais na Itália. :17.

3.         Treaty of Rome [Internet]. Mar 25, 1957. Available from: https://ec.europa.eu/romania/sites/romania/files/tratatul_de_la_roma.pdf

4.         General Data Protection Regulation [Internet]. Regulation (EU) 2016/679 Apr 27, 2016. Available from: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN

5.         Roncolato M. O que diz a nova lei de proteção de dados da Europa. E o efeito no Brasil [Internet]. Nexo Jornal. [cited 2019 Feb 8]. Available from: https://www.nexojornal.com.br/expresso/2018/05/25/O-que-diz-a-nova-lei-de-prote%C3%A7%C3%A3o-de-dados-da-Europa.-E-o-efeito-no-Brasil

6.         Constituição da República Federativa do Brasil [Internet]. Oct 5, 1988. Available from: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm

7.         Código Civil Brasileiro [Internet]. Código Civil Brasileiro, Lei 10.406 Jan 10, 2002. Available from: http://www.planalto.gov.br/ccivil_03/LEIS/2002/L10406.htm

8.         Mulholland CS. Sensitive personal data and the protection of fundamental rights: an analysis in light of the general data protection law (law 13.709/18). Rev Direitos E Garantias Fundam - Fac Direito Vitória. 2018 Dec;19(3):159–80.

9.         Samuel D. W, Louis D. B. The Right to Privacy. Harv Law Rev. 1890;4:193–220.

10.       Machado J de MS. A expansão do conceito de privacidade e a evolução na Tecnologia de Informação com o surgimento dos bancos de dados. Rev Ajuris. 2014 Jun;41(134):337–63.

11.       Vieira TM. O Direito à Privacidade na sociedade da Informação: efetividade desse direito fundamental diante dos avanços da tecnologia da informação [Dissertação de Mestrado]. [Brasília]: Universidade de Brasília; 2007.

12.       Cunha TB, Filho AS. A Teoria dos Círculos Concêntricos e a preservação da privacidade humana no registro civil das pessoas naturais. In: V CONGRESSO BRASILEIRO DE PROCESSO COLETIVO E CIDADANIA. Universidade de Ribeirão Preto; 2017. p. 265–82.

13.       Universal Declaration of Human Rights [Internet]. Dec 10, 1948. Available from: http://www.un.org/en/universal-declaration-human-rights/

14.       International Covenant on Civil and Political Rights [Internet]. Dec 16, 1966. Available from: https://www.ohchr.org/en/professionalinterest/pages/ccpr.aspx

15.       Bauman Z, Bigo D, Esteves P, Guild E, Jabri V, Lyon D, et al. After Snowden: Rethinking the Impact of Surveillance. Int . Polit Sociol. 2014 Jun;8(2):121–44.


[1] Seção III, art 42 a 45, parágrafos e incisos. Lei Geral de Proteção de Dados BR. 13.709/2018. . 14 ago. 2018.

[2] Onde 95 é o ano de 1995; 46 é o número da resolução e EC é o European Council.

[3] Artigo 3º, incisos I a III e §§ 1º e 2º, Lei Geral de Proteção de Dados BR. 13.709/2018. . 14 ago. 2018.

[4] Um direito individual, oponível contra o Estado e contra demais particulares.

[5] Um valor objetivo que condiciona constitucionalmente toda a atuação dos poderes da República, irradiando-se por todos os ramos do Direito, vinculando entes públicos e privados, simultaneamente.

[6] Nesse sentido, o uso do postulado da Ponderação, como exemplifica Alexey, é obrigatório, para que se verifique a necessidade, adequação e ponderação dos valores postos em conflito.

1 opinião sobre “LGPD: origem e implicações”

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *