Os princípios da Lei Geral de Proteção de Dados e aplicabilidade

No post passado, falamos sobre as origens e o contexto da LGPD e de como nos espelhamos na GDPR da União Europeia. Nesse post, vamos analisar os princípios jurídicos que a lei estabelece e a aplicabilidade da lei. A primeira coisa, então, é explicar para quem não é jurista o que são princípios jurídicos e porque eles são tão importantes assim.

Lembrando nosso roadmap dessa série de posts:

  1. Contexto e origem;
  2. Princípios da nova lei;
  3. Coleta de dados;
  4. Manter e processar dados;
  5. Dados sensíveis;
  6. Atores da nova lei;
  7. BigData, Data Science, Machine Learning, AI: um approach jurídico;

De modo bastante resumido, antigamente os princípios não detinham força de norma; eram recomendações de ordem moral ou política, meras sugestões, ideias de uma direção a seguir. No Brasil, até 1988 e o advento da nova Constituição Federal, os princípios sequer tinham força normativa, além de não serem insuflados por vontade política que lhes desse aplicabilidade. Com a evolução do Direito, os princípios passaram a ser comandos com efetividade e juridicidade. Tornaram-se comandos que devem ser obedecidos por todos e que servem de alicerce para a aplicação imediata de outros direitos subjetivos (1). Sua importância tornou-se tal que sua violação é considerada a mais grave ilegalidade ou inconstitucionalidade no sistema jurídico, por alguns autores. Nesse sentido, Celso Antônio Bandeira de Mello afirma que “Violar um princípio é muito mais grave que transgredir uma norma qualquer. A desatenção ao princípio implica ofensa não apenas a um específico mandamento obrigatório, mas a todo o sistema de comandos. É a mais grave forma de ilegalidade ou inconstitucionalidade, conforme o escalão do princípio atingido (...)” (2).

Por característica, os princípios não se aplicam de forma integral e plena em qualquer situação da vida real. Ao invés disso, princípios devem ser identificados como “mandados de otimização” – no sentido que defendia Robert Alexy. Entendia ele que, tal qual as regras, os princípios são normas jurídicas; mas que ao contrário das regras são normas jurídicas que afirmam que algo deve ser realizado na maior medida possível (3).

Nesse contexto, princípios jurídicos declarados em uma determinada lei são comandos efetivos, gerando uma obrigação em todos os indivíduos que obedecerem a esses comandos, ou em caso de conflito, busquem aplicar o máximo possível o princípio em questão. Por exemplo, se se encontrar duas interpretações possíveis para um determinado artigo da lei, deverá ser usada aquela que aplicar de forma mais completa algum princípio jurídico declarado naquela legislação. Em um exemplo prático, significa dizer que para fins de análise de crédito - Princípio da Finalidade - são vedadas inclusões nas bases de dados de qualquer informação que não se relacione com a finalidade de conceder crédito. E isso se deve ao dever de evitar tratamento discriminatório, informado pelo Princípio da Não Discriminação (4).

Isso posto, vamos ver quais os princípios a LGDP consagra e o que cada um quer dizer. Eles estão positivados no art. 6º, caput e incisos de I a X[1].

  1. Boa-fé: é um princípio geral do Direito que presume que as pessoas agem com boas intenções na realização dos negócios jurídicos. Contrariá-lo gera um ônus jurídico, decorrente da quebra da Boa-fé. “Isso quer dizer que se eu disser que vou pegar só o gênero, idade e renda, mas pegar também endereço, nome e CPF, estarei violando a Boa-fé?”. Isso mesmo, você entendeu;
  2. Finalidade: os dados devem ser tratados para determinados propósitos, os quais devem ser informados ao titular dos dados previamente, de modo explícito e sem que seja possível a utilização dos dados posteriormente para outra aplicação. “Quer dizer que se eu tenho os dados da pessoa para poder emitir a nota fiscal (hipótese de dispensa de pedido de autorização de coleta), eu não posso usar esses dados para enviar um email marketing, ou uma publicidade?”. Não. Não pode;
  3. Adequação: os dados devem ser usados de modo compatível com a finalidade declarada ao titular dos dados. Isso significa dizer que se a empresa solicitou dados para mandar uma newsletter e depois quiser gerar um score para pesquisa qualitativa de algum produto, terá de pedir nova autorização. Além disso, o uso deve ser adequado àquela finalidade originalmente informada. Mesmo que não haja nova finalidade, o uso inadequado da informação gerará desconformidade;
  4. Necessidade: o tratamento deve ser limitado ao mínimo necessário para a realização do objetivo que você informou; Isso quer dizer que se o objetivo era conceder ou não um empréstimo no banco, todos os dados que não tenham relação com a posição creditícia – como gênero, orientação sexual, ideologia, filiação partidária ou sindical etc. – não devem ser tratadas ou conhecidas do operador de dados;
  5. Livre acesso: deve ser garantida aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como o acesso à integralidade dos seus dados. Autoexplicativa. Ênfase nos termos “facilitada”, “gratuita” e “acesso à integralidade”. Isso quer dizer que não serão aceitos formatos que o titular tenha de garimpar as informações, nem será possível cobrar pela compilação desses dados. Também será necessário entregar a totalidade dos dados que você possui. E tudo de graça;
  6. Qualidade dos dados: deve ser garantida a exatidão, clareza, relevância e atualização dos dados; os agentes de tratamento (Controlador e Operador) devem garantir que os dados coletados e armazenados sejam exatos, claros, relevantes e atuais. O uso de dados desatualizados, obscuros, mal-ajambrados ou irrelevantes em tratamentos que possam gerar consequências a seus titulares é vedado, dado esse princípio;
  7. Transparência: deve ser garantida a prestação de informações claras e facilmente acessíveis pelos titulares. Lembram do tormento que era o cancelamento de um serviço telefônico, por exemplo? A lei usa o princípio da Transparência para garantir que aquele calvário não ocorra. O titular deverá ser capaz de solicitar seus dados, de corrigi-los ou de solicitar sua exclusão de forma rápida, fácil e descomplicada;
  8. Segurança: deverão ser adotadas medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados. Aqui, temos um ponto importante, que deverá gerar o maior custo associado à nova lei. O art. 46, parágrafos 1º e 2º estipulam que além da responsabilidade pela adoção das medidas de proteção, a Autoridade Nacional de Dados poderá dispor sobre os padrões técnicos mínimos aceitáveis. O rol de responsabilidade é extenso. Além disso, a lei introduz o conceito de Privacy for Design[2] (PbD), que passa a ser obrigatório em processos de coleta de dados, armazenamento, transformação, circulação e uso dos dados (5) [3]. Também é importante salientar que o comando legal é dirigido não só ao campo técnico, mas também ao administrativo. Ou seja, pessoas e processos também serão responsáveis pelos dados e seu acesso ou processamento. A lei cria uma série de novos atores, como o Controlador e o Operador de dados;
  9. Prevenção: deverão ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Notem que o princípio é de prevenção. Não bastará mais agir de modo reativo, ou seja, após o acidente. Se uma prevenção não for adequadamente implementada, os pressupostos jurídicos para uma ação de responsabilidade civil estarão postos: houve negligência, ou seja, descumprimento do dever geral de diligência (cuidado) a que todos estamos subordinados. Além do artigo 46, a lei ainda traz outros elementos no artigo 50 e seguintes, propondo ações de governança e treinamentos.
  10. Não discriminação: impossibilidade de tratamento para fins discriminatórios. Utilizar dados para fins que gerem discriminação são proibidos. O Direito da Anti-Discriminação é um campo vasto e complexo, novo no Brasil[4]. A discriminação nos tratamentos dos dados poderá ser direta ou indireta. Direta, quando a aplicação do processamento e seus resultados geraram um efeito negativo injustificável para alguém. Por exemplo, negar um empréstimo bancário com base na cor da pele. Indireta, quando disposição, critério ou prática, aparentemente neutro, coloque pessoas de uma dada condição – racial ou étnica, por exemplo – em uma situação de desvantagem, comparativamente a outras pessoas (6–8);
  11. Responsabilização e prestação de contas: as empresas deverão criar Controladores de dados, Operadores de dados e Encarregado de dados. Esses serão os responsáveis direitos por a empresa estar compliance com a nova lei. Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) irá dispor sobre o relatório de impacto à proteção de dados pessoais, que as empresas deverão apresentar (9) [5]. Ainda não se sabe se esse relatório terá caráter permanente e sazonal – a ser apresentado a cada mês, ou semestre, ou ano – ou se terá extraordinário, devendo ser feito apenas quando solicitado pela ANPD, ou ainda ambos os casos.

Quanto a aplicabilidade, a LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica, seja de direito público ou de direito privado, independentemente do meio, do país sede da pessoa física ou jurídica, ou do país onde estejam localizados os dados, desde que:

  1. A operação de tratamento seja realizada no território nacional; ou
  2. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
  3. Os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Consideram-se dados coletados no território brasileiro aqueles cujo titular aqui se encontre no momento da coleta. Por exemplo, um nacional alemão, ou britânico, em férias no Brasil, tem seus dados coletados por um hotel. Esse dado está submetido à LGPD. A exceção se dá nos dados de origem internacional em passagem pelo Brasil, sem processamento.

O art. 4º da LGPD nos informa as hipóteses nas quais a lei NÃO se aplica. São elas:

  1. Quando o processamento de dados é realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
  2. Quando realizado para fins exclusivamente:
    • jornalístico e artísticos; ou
    • acadêmicos;
  3. Quando realizado para fins exclusivos de:
    • segurança pública;
    • defesa nacional;
    • segurança do Estado; ou
    • atividades de investigação e repressão de infrações penais; ou
  4. Quando provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

O tratamento de dados por entes de Direito Público – tais como autarquias, empresas públicas, fundações públicas, entre outras – possui regras específicas, bem como dados processados em âmbito estatal – segurança pública, defesa nacional, segurança do Estado e dados penais – que são mais restritos ainda. Seu processamento por empresas de direito privado só é permitido sob tutela do ente público e com restrições de proporcionalidade e estrita necessidade.

No próximo post, vamos ver o que a LGPD dispõe sobre coleta de dados de pessoas naturais.

Até lá!

 

 

REFERÊNCIAS

  1. Freitas Fazoli CE de. Princípios Jurídicos. Rev Bras Multidiscip. 2007 Jan 7;11(1):13.
  2. Mello CAB de. Curso de direito administrativo. 12th ed. São Paulo: Malheiros; 2000.
  3. Alexy R. Teoria de los derechos fundamentales. Madrid: Centro de Estudios Constitucionales; 1993.
  4. Mulholland CS. Sensitive personal data and the protection of fundamental rights: an analysis in light of the general data protection law (law 13.709/18). Rev Direitos E Garantias Fundam - Fac Direito Vitória. 2018 Dec;19(3):159–80.
  5. Privacy by Design [Internet]. General Data Protection Regulation (GDPR). [cited 2019 Feb 10]. Available from: https://gdpr-info.eu/issues/privacy-by-design/
  6. Ávila APO, Rios RR. Mutação constitucional e proibição de discriminação por motivo de sexo / “Constitutional mutation” and the constitutional veto upon discrimination based on sex. Rev Direito E Práxis [Internet]. 2016 Mar 9 [cited 2019 Feb 27];7(13). Available from: http://www.e-publicacoes.uerj.br/index.php/revistaceaju/article/view/17987
  7. Rios RR. O conceito de homofobia na perspectiva dos direitos humanos e no contexto dos estudos sobre preconceito e discriminação. In: Rompendo o Silêncio: homofobia e heterossexismo na sociedade. 1a. Porto Alegre: Nuances; 2007. p. 27–48.
  8. Rios RR. O direito da antidiscriminação e a tensão entre o direito à diferença e o direito geral de igualdade. Rev Bras Direitos Fundam Justiça. 2012 Mar 30;6(18):169–77.
  9. Lei Geral de Proteção de Dados BR [Internet]. Lei 13.709 Aug 14, 2018. Available from: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm

 

[1] Art. 6º  As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

[2] Privacidade desde a concepção é uma abordagem que leva em conta a privacidade durante todo o processo de construção de sistemas, processos, eventos, estratégias comerciais, entre outros. É conceito sensível a valores, considerando que valores humanos e suas derivações devem ser atendidos e respeitados em todo o processo. O PbD passa a ser obrigatório nas operações que envolvam dados pessoais em todo o Brasil, à partir de 2020.

[3] Nesse sentido, “Privacy by Design” and “Privacy by Default” have been frequently-discussed topics related to data protection. The first thoughts of “Privacy by Design” were expressed in the 1970s and were incorporated in the 1990s into the RL 95/46/EC data protection directive. According to recital 46 in this Directive, technical and organisational measures (TOM) must be taken already at the time of planning a processing system to protect data safety.”

[4] O maior nome da área é o Desembargador Federal da 4ª Região Federal, professor-Doutor Roger Raupp Rios.

[5] Art. 38.  A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Daniel Martins Vidor é jornalista formado pela UFRGS (1998)
e bacharel em Direito (Uniritter, 2007). 
Pós-graduando em European
Business Law e Human Rights for Open Societies.