Gabriel Prado Souza de Oliveira: Bacharel em Direito pelo Centro Universitário das Faculdades Metropolitanas Unidas (FMU) – São Paulo/SP. [email protected].
Resumo: O presente artigo tem por objetivo identificar e discorrer sobre como é tratada a proteção de dados no Brasil, partindo dos direitos fundamentais constitucionalmente consagrados na Carta Política de 1988, até a promulgação da recentíssima Lei Geral de Proteção de Dados Pessoais (LGPD), que configura verdadeiro avanço no ordenamento jurídico brasileiro, lei esta que foi fortemente influenciada pelo modelo do Regulamento Geral de Proteção de Dados europeu (RGPD), que também é objeto de breve análise no presente artigo, assim como algumas disposições legislativas das principais potências europeias, que são fortes fontes de inspiração para o Brasil no que tange à proteção de dados pessoais.
Palavras-chave: Proteção de dados. Privacidade. LGPD. RGPD.
Abstract: This article aims to identify how data protection occurs in Brazil, from such provision in the Federal Constitution of 1988, until the promulgation of the new General Personal Data Protection Act (LGPD), a law that was strongly influenced by the European Data Protection Regulation (RGPD), while addressing some of the most relevant aspects of both national and European legislation.
Keywords: Data protection. Privacy. LGPD. RGPD.
Sumário: Introdução. 1. Breve histórico sobre a proteção de dados. 2. Considerações sobre o modelo europeu de proteção de dados pessoais. 3. O sigilo de dados no âmbito da CF/88 até a promulgação da LGPD. Conclusão. Referências.
Introdução
Devido ao crescente processo de globalização, aos avanços tecnológicos e a notícias de vazamentos de dados veiculadas na mídia nacional e internacional, o tratamento de dados pessoais merece e vem recebendo cuidadosa regulação.
A informação vem se tornando a cada dia algo de valor inestimável, sendo que o seu inadequado tratamento, principalmente com as recentes edições de legislações sobre proteção de dados, pode acarretar em inúmeros prejuízos das mais diversas naturezas, para quem trata o dado e para o seu titular.
As principais potências europeias e os Estados Unidos da América são pioneiros no que tange à regulação do tratamento de dados pessoais, exercendo forte influência na comunidade internacional, sobretudo, no Brasil, principalmente os europeus.
Assim, visando preencher as lacunas deixadas por algumas leis esparsas que já cuidavam, ainda que não de forma sistemática, da proteção de dados pessoais, o legislador ordinário brasileiro editou uma lei geral de proteção de dados pessoais.
Logo, o presente artigo tem por objetivo explicitar, em linhas gerais, a sistemática da proteção de dados no País, a partir de tal previsão na Constituição Federal de 1988 (como um direito fundamental), até a promulgação da lei de proteção de dados, demonstrando, sobretudo, que todo e qualquer dado relacionado a uma pessoa natural é objeto de proteção legal, principalmente os chamados dados pessoais sensíveis, e que o responsável pelo tratamento desses dados vai desde o particular até o Estado.
Portanto, a abordagem apresentada no presente trabalho é feita através do estudo doutrinário, leis vigentes no ordenamento jurídico brasileiro e normas internacionais, sendo assim uma pesquisa bibliográfica e documental.
O presente trabalho está dividido em três itens. No primeiro item é apresentado um breve histórico acerca da evolução da proteção de dados.
Dada a forte influência que o RGPD europeu exerceu sobre a LGPD brasileira, o segundo tópico cuida de tecer algumas considerações sobre o entendimento europeu em matéria de proteção de dados.
O terceiro item trata da proteção de dados no âmbito da Constituição Federal de 1988, faz uma breve menção às legislações esparsas sobre a matéria em estudo e, finalmente, mostra como se chegou à nova Lei Geral de Proteção de Dados Pessoais.
É apresentada a conclusão do presente artigo.
1 Breve histórico sobre a proteção de dados
A preocupação do homem com a proteção de dados em relação a terceiros não autorizados a acessá-los remonta tempos longínquos. Senão vejamos a seguir.
Na Idade Antiga (4000 a. C. a 476 d. C.), com fins militares estratégicos, o imperador romano Julio César (101. a. C. a 44 a. C.) criou a Cifra de Cesar para a transmissão de mensagens a seus comandados, substituindo cada letra do alfabeto pela correspondente a três casas a frente na ordem alfabética, de modo que somente o pessoal devidamente treinado poderia captar a mensagem transmitida.
Na Idade Moderna (1453-1789), a rainha da Escócia Maria Stuart (1542-1587), mesmo presa, se comunicava com rebeldes católicos por meio de linguagem criptografada, sendo necessária a intervenção do criptoanalista[1] Thomas Phelippes para quebrar a cifragem. (COSTA, 2003, p. 582-583).
Nesses contextos, a proteção de dados mostra um alcance limitado, apenas para determinados atos e assuntos.
Entretanto, durante o tempo, a questão da proteção da informação foi empreendida com fins diversos e foi ganhando gradativamente maior amplitude na vida humana. Ao homem contemporâneo interessa proteger a maior gama de informações a ele relativas, das mais diversas naturezas.
A demonstração de preocupação com a vida íntima do indivíduo teve como marco histórico a publicação de um artigo na Harvard Law Review, em 15 de dezembro 1890, elaborado pelo advogado Samuel Warren e pelo juiz Louis Brandeis, intitulado “The right to privacy”. Os autores americanos de Boston reclamavam a identificação legal da proteção de um “right to be let alone”, para proteger as dimensões da personalidade que os mesmos entendiam estarem sendo violadas pela imprensa local da época. (CASTRO, 2005, p. 17-18).
A partir do caso acima, somado a outros fatores ao longo da história, surgiram diversos documentos solenes que declararam o direito à privacidade.
Como resposta à Segunda Grande Guerra Mundial (1 de setembro de 1939 a 2 de setembro de 1945), foi elaborada a Declaração Universal dos Direitos Humanos, de 10 de dezembro de 1948, que dispõe em seu artigo 12 que ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação.
Disposição parecida ao do citado dispositivo da DUDH pode ser encontrada na Convenção Europeia dos Direitos dos Homens, de 4 de novembro de 1950 (art. 8º), no Pacto Internacional dos Direitos Civis e Políticos, de 16 de dezembro de 1966 (art. 17) e no Pacto de San José da Costa Rica, de 22 de novembro de 1969 (art. 11).
Houve também a constitucionalização da proteção da privacidade em determinados países.
A Constituição da República Portuguesa de 1976 foi a primeira da Europa a dedicar um dispositivo à matéria de proteção de dados pessoais (em seu art. 35.º), dispondo sobre normas gerais de tratamento de dados pessoais no âmbito da informática e aqueles constantes de ficheiros manuais. No sentido da CRP/1976, foi a Constituição espanhola (de 27 de dezembro de 1978, em seu art. 18.º, n.º 1), a Constituição finlandesa (art. 8º) e a Constituição grega de 1975, modificada em 2001 (art. 9º). (CASTRO, 2005, p. 32).
No Direito Comunitário europeu, foi de enorme importância a Diretiva 95/46/CE do Parlamento do Conselho, de 24 de outubro de 1995, que regulou a proteção de pessoas singulares no que tange ao tratamento de dados pessoais e à sua livre circulação. Na época, os países europeus trataram de promover a transposição da referida Diretiva para as suas respectivas ordens jurídicas internas, como, por exemplo, na Itália, pela Lei 675/96, de 11 de dezembro e no Reino Unido, pelo Data Protection Act of 1998, de julho.
Não obstante, importante destacar que alguns países já tinham suas legislações sobre proteção de dados, como era o caso da Alemanha (Bundesdatenschutzgesetz de 21 de janeiro de 1977 e posteriores alterações), da Espanha (Ley Orgánica de 29 de outubro de 1992) e da França (Loi Informatique et Libertés Lei 17, de 6 de janeiro de 1978), que posteriormente promoveram a transposição da Diretiva UE 46/1995 para os seus respectivos ordenamentos.
Atualmente, vige o modelo europeu instituído pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, que revogou a Diretiva 95/46/CE. É o chamado Regulamento Geral sobre a Proteção de Dados – RGPD.
No Brasil, a Constituição da República de 1988 declarou como direito fundamental do cidadão a inviolabilidade de dados e a autodeterminação informativa (art. 5º, incisos X, XI, XII e LXXII).
Todavia, conforme será melhor demonstrado, ao contrário dos europeus, o Brasil só veio a promulgar uma lei ampla sobre a proteção de dados no ano de 2018, com a Lei n. 13.709, de 14 de agosto (Lei Geral de Proteção de Dados), inspirada no RGPD europeu.
2 Considerações sobre o modelo europeu de proteção de dados pessoais
A LGPD brasileira foi fortemente inspirada no RGPD europeu, sendo o último resultado de anos de experiência legislativa europeia quanto à proteção de dados pessoais. (BIONI; MENDES, 2019).
Portanto, se mostra oportuno identificar como a Europa vem tratando atualmente os dados pessoais, que são objeto de ampla proteção.
Os velozes avanços tecnológicos somados ao cada vez mais potencializado processo de globalização despertaram nos europeus a necessidade de se criar um instrumento de harmonização e uniformização sobre a proteção de dados na União Europeia, conforme apontam os considerandos do RGPD europeu (especialmente os de número 6 a 9).
O artigo 1º, n. 1, do Regulamento (UE) 2016/679 dispõe que referida norma estabelece regras relativas à proteção das pessoas singulares quanto ao tratamento de seus dados pessoais. O RGPD estabelece princípios e condições ao tratamento de dados, procedimentos de segurança para com os dados, prevê indenizações em caso de danos materiais e imateriais quando do tratamento de dados e prevê tantas outras questões. O documento possui 173 considerandos e 99 artigos.
Da análise de alguns dos textos legais de países diversos que tratam do tema, verifica-se que o respectivo legislador sempre se preocupou em conceituar os termos empregados no corpo da lei (como dados pessoais, tratamento de dados, banco de dados etc.), o que facilita a visualização do que está sendo protegido e regulado pela lei.
Pautando-se na Lei portuguesa n. 67/98[2], de 26 de outubro, a jurista portuguesa Catarina Sarmento e Castro (2005, p. 339) ensina, sobre dado pessoal e seu respectivo titular: “(…) qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural e local”.
A definição acima é quase idêntica àquela antes prevista no artigo 2º, “a” da velha Diretiva UE 46/95. Referida Diretiva proporcionava considerável espaço para variação jurídica por cada um dos países membros do bloco europeu, o que não ocorre com o atual RGPD 2016/679, que tem eficácia imediata, sem a necessidade de transposição dos seus países membros, sendo muito mais prescritivo e padronizador. (BIONI; MENDES, 2019).
Assim, por exemplo, a Ley Orgánica 15/1999, de 13 de dezembro (transposição da Diretiva UE 46/95 para o ordenamento espanhol), dispunha em seu art. 3º que se consideram dados de caráter pessoal “cualquier información concerniente a personas físicas identificadas o identificables.” (ESPANHA, 1999, p. 43088).
De acordo com a citada lei espanhola (hoje revogada apenas em razão das inovações trazidas pelo RGPD), o titular dos dados pessoais é pessoa física titular dos dados que sejam objeto do tratamento.
Já a Lei italiana 675/96 definia, em seu art. 1º, n. 1, “c”, como dado pessoal, “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.” (ITÁLIA, 1996, p. 3).
Note-se que de acordo com a citada lei italiana (hoje revogada na ordem interna do país), o titular dos dados pessoais poderia ser pessoa física, pessoa jurídica, ente ou associação a quem se referem os dados pessoais. O atual RGPD não abrange o tratamento de dados pessoais relativos a pessoas coletivas (jurídicas), conforme expressamente previsto no considerando n. 14.
No capítulo que trata de provisões interpretativas básicas, o Data Protection Act of 1998, define que “dados pessoais significa dados relativos a um indivíduo vivo que pode ser identificado”. (REINO UNIDO, 1998, p. 2, tradução nossa).[3]
Importante destacar ainda que o RGPD, com base nos avanços tecnológicos, acrescentou que a identificação da pessoa natural pode se dar também através de identificadores por via eletrônica (artigo 4º, n. 1).
Ainda, não obstante o caráter padronizador do RGPD, seu considerando n. 10 dispõe que os Estados-Membros têm margem de manobra para especificarem as suas regras, inclusive em matéria de tratamento de categorias especiais de dados pessoais sensíveis.
No âmbito do ordenamento português, dados sensíveis se referem a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, vida sexual, incluindo os dados genéticos. (CASTRO, 2005, p. 88-89).
Em sentido muito parecido foi o Data Protection Act of 1998, do Reino Unido e a Lei italiana n. 675/96, conforme salienta Monducci (2003, p. 2), “L’art. 22 della legge 675/96 tutela i veri e propri dati sensibili, ovvero i dati “idonei a rivelare”: (a) l’origine razziale ed etnica; (b) le convinzioni religiose, filosofiche o di altro genere e le opinioni politiche; (c) l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale; (d) lo stato di salute; (e) la vita sessuale.”
Quanto ao tratamento de dados pessoais, Catarina Sarmento e Castro (2005, p. 341), ainda com base na Diretiva 95/46/CE, nos mostra que é “(…) qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição (…).”
Assim também dispõe o Regulamento (UE) 2016/679 no que tange ao tratamento de dados pessoais, ou seja, os mais diversos tipos de contato com dados pessoais são considerados tratamento de dados.
Ademais, as legislações até aqui mencionadas prescrevem rigorosas condições para o tratamento de dados pessoais sensíveis: ou depende do consentimento do titular; ou do atendimento a certos requisitos legais, tais como perigo de vida do titular, dados tornados públicos pelo titular, etc.
O responsável pelo tratamento de dados, na sistemática europeia, pode ser uma pessoa singular ou coletiva, de direito público ou privado, de acordo com o artigo 4º do vigente RGPD europeu e de acordo com as normas que o precederam.
3 O sigilo de dados no âmbito da CF/88 até a promulgação da LGPD
José Augusto Delgado (2003, p. 534) nos ensina que os direitos de privacidade (termo aqui empregado de forma genérica e ampla, englobando o direito à intimidade), que são expressamente amparados pela Constituição Federal e pela atual LGPD, são direitos humanos de terceira geração, e que estes são direitos fundamentais.
Nesse sentido, destaca-se que a República Federativa do Brasil rege-se nas suas relações internacionais pela prevalência dos direitos humanos, conforme expressamente previsto no art. 4º, inciso II da CF/88.
A Carta Magna de 1988 declara como direitos fundamentais do cidadão a inviolabilidade de sua privacidade, de seus dados e, inspirada pela Constituição Portuguesa de 1976, consagra a autodeterminação informativa, tudo conforme art. 5º, incisos X, XI, XII e LXXII. (CASTRO, 2005).
Dispõem os referidos incisos do citado dispositivo constitucional: “Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: […] X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; XI – a casa é asilo inviolável do indivíduo, ninguém nela podendo penetrar sem consentimento do morador, salvo em caso de flagrante delito ou desastre, ou para prestar socorro, ou, durante o dia, por determinação judicial; XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; […] LXXII – conceder-se-á habeas data: a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público; b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo; […].” (BRASIL, 1988, p. 52-54).
De leitura do texto constitucional, necessário especificar o que é privacidade, intimidade, casa (domicílio), comunicações pessoais (correspondência e comunicações telegráficas e telefônicas) e dados pessoais no âmbito da Constituição da República de 1988, para fins de constatação do objeto de proteção constitucional e da LGPD.
Preliminarmente, necessário distinguir o direito à intimidade do direito à privacidade, pois a própria Constituição faz essa distinção.
José Afonso da Silva (2017, p. 208-211) demonstra que o conceito de intimidade é geralmente empregado para designar a esfera secreta da vida do indivíduo, que busca evitar o conhecimento dos demais, como, por exemplo, suas relações sexuais. Já o conceito de privacidade engloba informações restritas da vida do indivíduo, como sua relação com familiares e amigos, o que o renomado autor chama de vida interior, que envolve atividades que geralmente não são tornadas públicas, não devendo ser objeto de divulgações por terceiros.
Quanto ao domicílio do indivíduo, trata-se do local onde o mesmo reside, ou seja, sua casa, conforme preleciona Manoel Gonçalves Ferreira Filho (2010, p. 333).
Assim, “a Constituição está reconhecendo que o homem tem direito fundamental a um lugar em que, só ou com sua família, gozará de uma esfera jurídica privada e íntima, que terá que ser respeitada como sagrada manifestação da pessoa humana”. (SILVA, 2017, p. 209).
A Constituição prevê também a inviolabilidade do sigilo das comunicações pessoais, que deve ser entendida como uma proibição de abertura de cartas e outros meios de correspondência escrita ou a interrupção do seu curso, bem como da interceptação de telefonemas, garantindo-se o sigilo de dados pessoais, a fim de proteger a intimidade do indivíduo. (SILVA, 2017, p. 441).
Dados pessoais, no âmbito da CF/88, são quaisquer informações relativas ao indivíduo. Neste sentido, a “inviolabilidade do sigilo de dados (art. 5º, XII) complementa a previsão ao direito à intimidade e vida privada (art. 5º, X)”. (MORAES, 2016, p. 74).
Os incisos X e XI do art. 5º da Carta Magna tratam da inviolabilidade da intimidade, da vida privada e da casa do indivíduo, enquanto o inciso XII salvaguarda a confidencialidade dos dados. Em suma, além de tratarem da segurança do domicílio e das comunicações pessoais, os três incisos tratam também da proteção de informações pessoais, de modo que devem ser interpretados sistematicamente, pois o que se pretende resguardar, além da segurança, é a esfera particular do indivíduo contra a curiosidade pública e a ingerência de estranhos. (CRESPO; FILHO, 2019).
Ainda, conforme preleciona Catarina Sarmento e Castro (2005, p. 25), “o direito à autodeterminação informativa nasce, assim, para garantir um direito à intimidade privada no que aos tratamentos de dados pessoais diz respeito.”
Ou seja, só será objeto de tratamento os dados que o respectivo titular autorizar.
Portanto, quando a CF/88 instituiu o habeas data para assegurar o conhecimento de informações relativas à pessoa do impetrante e para retificação de seus dados constantes de bancos de dados de entidades governamentais ou de caráter público (art. 5º, inciso LXXII), deu ao cidadão a possibilidade de inspecionar a utilização de seus dados pessoais, sendo um instrumento para o exercício do direito à autodeterminação informativa.
Em suma, conforme assevera Alexandre de Moraes (2016, p. 74) sobre as citadas disposições constitucionais, “(…) a defesa da privacidade deve proteger o homem contra: (a) a interferência em sua vida privada, familiar e doméstica; (b) a ingerência em sua integridade física ou mental, ou em sua liberdade intelectual e moral; (c) os ataques à sua honra e reputação; (d) sua colocação em perspectiva falsa; (e) a comunicação de fatos relevantes e embaraçosos relativos à sua intimidade; (f) o uso de seu nome, identidade e retrato; (g) a espionagem e a espreita; (h) a intervenção na correspondência; (i) a má utilização de informações escritas e orais; (j) a transmissão de informes dados ou recebidos em razão de segredo profissional.”
Definida a proteção de dados pessoais no âmbito da CF/88, cumpre especificar como se dá tal proteção de acordo com a legislação ordinária.
O crescente fluxo de dados pessoais foi potencializado com os avanços tecnológicos e o uso da Internet, de modo que o legislador brasileiro foi, aos poucos, empreendendo esforços para conferir maior proteção às informações das pessoas.
Não obstante, ao contrário dos países da Europa, o Brasil só veio a promulgar uma lei ampla sobre a proteção de dados no ano de 2018, com a Lei n. 13.709, de 14 de agosto (Lei Geral de Proteção de Dados), que entrará plenamente em vigor em agosto de 2020 (art. 65, inciso II).
Buscando efetivar os direitos fundamentais previstos na Carta Maior, a inviolabilidade de dados pessoais já vinha sendo objeto da atividade legislativa do Estado, amparada por algumas leis anteriores à promulgação da LGPD, porém nunca de forma sistematizada.
Por exemplo, a Lei n. 9.983, de 14 de julho de 2000 acrescentou o §1º-A ao artigo 153 do Decreto-Lei n. 2.848, de 7 de dezembro de 1940 (Código Penal), tipificando como crime a conduta de divulgar informações sigilosas ou reservadas.
Ainda, em razão da crescente utilização dos meios informáticos para a prática de ilícitos, foi editada também a Lei n. 12.737, de 30 de novembro de 2012, que dispõe sobre a tipificação criminal de delitos informáticos. Tal lei foi apelidada de “Lei Carolina Dieckmann”, face o vazamento de fotos íntimas que estavam armazenadas em um dispositivo eletrônico da referida atriz. (CRESPO; FILHO, 2019).
Importante mencionar também que em 23 de abril de 2014 foi editada a Lei n. 12.965 (Marco Civil da Internet), que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Referida norma possui alguns dispositivos que tratam da proteção de dados pessoais no uso da Internet.
Conforme exposição de motivos da Lei n. 13.709/18 (LGPD), um dos fatores que mais motivou a edição da referida norma foi o avanço da tecnologia da informação e a exacerbada quantidade de dados pessoais expostos na Internet. (CRESPO; FILHO, 2019).
A nova lei brasileira de proteção de dados visa tutelar a liberdade, privacidade e a autodeterminação informativa (art. 1º), regulando como se dará o tratamento de dados pessoais referentes a pessoas naturais, tratados em meios físicos e digitais por pessoa jurídica ou natural, de direito público ou privado.
Portanto, para a lei brasileira, o titular dos dados pessoais protegidos é sempre uma pessoa singular, enquanto aqueles que tratam tais dados (chamados pela lei de controlador e operador) podem ser pessoa natural ou jurídica, abrangendo, neste último caso, o Estado. Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, incisos VI e VII da LGPD).
De acordo com o art. 5º, inciso I da LGPD, dado pessoal é informação relacionada a pessoa natural identificada ou identificável. Dados pessoais do titular relativos à sua origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual etc. são considerados dados pessoais sensíveis (art. 5º, inciso II), cujo tratamento recebe forte restrição (art. 11), seguindo o modelo europeu aqui já apresentado.
Nesse ponto a proteção da LGPD se diferencia, por exemplo, da proteção estabelecida pela Lei n. 9.279, de 14 de maio de 1996, que regula os direitos e obrigações relativos à propriedade industrial. A proteção da Lei n. 9.279/96 abarca dados relativos a inventos utilitários, criados com finalidade industrial, bem como protege as marcas. Geralmente, os titulares desses bens e direitos são pessoas jurídicas, que não são titulares dos dados pessoais a que se refere a LGPD que, entretanto, contém dispositivo que determina a observância pelo zelo dos segredos comercial e industrial, observada a proteção de dados pessoais, com vistas a não violar seus fundamentos (art. 55-J, inciso II).
Ainda no que tange aos dados pessoais sensíveis, importante realçar as diversas relações jurídicas que devem ser protegidas pela LGPD no ponto de vista da pessoa física em relação a tais dados.
O Estado é um enorme (talvez o maior) coletor de dados, das mais diversas naturezas. Logo, a lei de proteção de dados deve proteger a relação entre o Estado e a pessoa natural. Pensemos na relação Fisco x contribuinte: anualmente, o Poder Público obtém dados relativos aos negócios e à vida privada do contribuinte, quando são entregues as declarações de renda à Receita Federal. Por exemplo, uma doação de dinheiro a determinada instituição religiosa pode demonstrar a convicção religiosa de um contribuinte pessoa física, sendo um dado sensível nos termos da lei.
Nesse sentido, a própria CF/88 dispõe em seu art. 145, §1º, que os impostos terão caráter pessoal e serão graduados segundo a capacidade econômica do contribuinte, facultado à administração tributária, especialmente para conferir efetividade a esses objetivos, identificar, respeitados os direitos individuais e nos termos da lei, o patrimônio, os rendimentos e as atividades econômicas do contribuinte.
Pensemos também nos hospitais públicos e particulares, que coletam dados referentes à saúde e à vida sexual de seus pacientes.
Outro exemplo são as relações de consumo, caracterizadas pela vulnerabilidade do consumidor, que na maioria dos casos é pessoa física, de quem a LGPD protege os dados pessoais. Nessa relação, lembremo-nos que o fornecedor de produtos ou serviços poderá ser tanto pessoa física quanto jurídica, de direito público ou de direito privado, tal como as figuras do controlador e do operador de dados pessoais na Lei n. 13.709/2018.
O art. 43 da Lei 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor) dispõe que o consumidor terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes, podendo, em caso de inexatidão, exigir sua imediata correção. A Lei n. 13.709/2018 reforçou esse direito do consumidor.
Muitas vezes os consumidores têm seus dados registrados nas plataformas digitais e nos sítios eletrônicos de fornecedores, que dizem respeito a suas convicções religiosas, opinião política, filosófica etc. (basta nos lembrar das redes sociais, que são verdadeiros ficheiros eletrônicos de dados pessoais sensíveis).
Em regra, os dados pessoais sensíveis podem ser tratados quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas (art. 11, inciso I, LGPD).
Por outro lado, dispensa-se o consentimento do titular dos dados sensíveis, quando seu tratamento for indispensável para cumprimento de obrigação legal ou regulatória pelo controlador (ex.: fiscalização tributária), proteção da vida ou da incolumidade física do titular ou de terceiro, tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (ex.: prontos-socorros em hospitais públicos e particulares) etc., tudo na forma do art. 11, inciso II da LGPD.
Não obstante todo o exposto até aqui, de se salientar que a LGPD não se aplica quando o tratamento dos dados é realizado por uma pessoa física, com fins exclusivamente particulares e não econômicos, para fins exclusivamente jornalísticos e artísticos, bem como para tratamentos realizados para fins de segurança pública e defesa nacional (art. 4º).
Ademais, a lei traz a figura do dado anonimizado. O inciso III do art. 5º da LGPD dispõe que dado anonimizado é aquele relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
O procedimento de anonimização de dados se trata de um conjunto de técnicas para proteger os dados com relação a terceiros não autorizados. Um exemplo de anonimização é a criptografia de mensagens, muito utilizada para aquelas enviadas via aplicativos digitais de conversa, onde somente o emissor e o receptor têm acesso à mensagem em sua forma original e não em códigos.
Um dado devidamente anonimizado não é considerado um dado pessoal, portanto, deixa de estar sob a proteção da LGPD. (PINHEIRO, 2019).
Assim como no modelo europeu, a definição de tratamento de dados na LGPD buscou ser ampla, de modo que os mais diversos tipos de contato com dados pessoais são considerados tratamento de dados (art. 5º, inciso X), passíveis de responsabilização em caso de danos patrimoniais e/ou morais (art. 42).
Visto que a lei sequer entrou em vigor (ao menos a maior parte), basta aguardar, para sabermos como será sua aplicação prática, por repartições públicas, empresas privadas etc. e o entendimento do Judiciário acerca do tema.
Conclusão
Os principais países europeus há tempos têm suas legislações sobre proteção de dados, que foram sendo atualizadas de acordo com os progressos alcançados pela União Europeia.
Conforme vimos, Portugal é um dos países pioneiros no que tange à proteção de dados pessoais, conforme Constituição de 1976, exercendo influência sobre a Constituição da República de 1988 (brasileira), que estabeleceu ampla proteção à privacidade e intimidade, ao domicílio, às comunicações pessoais e aos dados pessoais.
Assim, os acontecimentos envolvendo vazamento de dados, principalmente no ambiente Internet, somados à proteção constitucional sobre dados, aos avanços tecnológicos e à patente mora legislativa brasileira neste campo, instigaram a edição de uma lei que pudesse proporcionar proteção ampla aos dados pessoais, que têm valor inestimável no Século XXI.
Tal como ocorreu com algumas normas integrantes do ordenamento jurídico brasileiro, a Lei Geral de Proteção de Dados Pessoais é, de certa forma, um “clone” sul-americano do Regulamento Geral de Proteção de Dados Pessoais europeu. As semelhanças entre as normas podem ser encontradas em diversos dispositivos, como por exemplo, aqueles que cuidam das definições de dados pessoais e de dados pessoais sensíveis.
Nada obstante, importante ter em mente que a LGPD sistematizou a proteção às informações relativas às pessoas naturais no Brasil, proteção que era genericamente prevista na CF/88, e parcialmente tratada por leis esparsas.
Em suma, a nova LGPD inovou no ordenamento jurídico brasileiro ao estabelecer regras específicas para o tratamento de dados, bem como ao prever o ressarcimento por dano patrimonial, moral, individual ou coletivo em razão do exercício de atividade de tratamento de dados pessoais. A proteção abarca, portanto, qualquer informação relacionada a uma pessoa singular, ainda que não possa ser imediatamente identificada.
Trata-se, portanto, de enorme avanço jurídico no Brasil, nos restando aguardar a interpretação sobre os dispositivos legais da LGPD pelos Tribunais pátrios quando da sua efetiva aplicação, vez que a maior parte de seus dispositivos só entrará em vigor em agosto de 2020 (art. 65, inciso II).
Referências
BIONI, Bruno R.; MENDES, Laura Schertel. O regulamento europeu de proteção de dados pessoais e a lei geral de proteção de dados brasileira: mapeando convergências na direção de um nível de equivalência. Revista de Direito do Consumidor, São Paulo, vol. 124/2019, p. 157-180, jul./ago., 2019.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 1988, de 05 de outubro de 1988. Vade Mecum edição especial FMU. São Paulo: Revista dos Tribunais, 2016.
CASTRO, Catarina Sarmento e. Direito da informática, privacidade e dados pessoais. Coimbra: Almedina, 2005.
COSTA, Marcos da. A internet e sua regulação internacional. In: CAMPOS, Diogo Leite de; MARTINS, Ives Gandra da Silva. O direito contemporâneo em Portugal e no Brasil. Coimbra: Almedina, 2003. p. 577-618.
CRESPO, Danilo Leme; FILHO, Dalmo Ribeiro. A evolução legislativa brasileira sobre a proteção de dados pessoais: a importância da promulgação da lei geral de proteção de dados pessoais. Revista de Direito Privado, São Paulo, vol. 98/2019, p. 161-186, mar./abr., 2019.
DELGADO, José Augusto. Os novos direitos de 3ª geração: Direitos humanos e ambientais. In: CAMPOS, Diogo Leite de; MARTINS, Ives Gandra da Silva. O direito contemporâneo em Portugal e no Brasil. Coimbra: Almedina, 2003. p. 513-575.
ESPANHA. Ley Orgánica nº 15, de 13 de dezembro de 1999. Boletín Oficial del Estado. Madri, 14 dez. 1999. p. 43088-43099.
FERREIRA FILHO, Manoel Gonçalves. Curso de direito constitucional. 36. ed. São Paulo: Saraiva, 2010.
ITÁLIA. Legge nº 675, de 31 de dezembro de 1996. Gazzetta Ufficiale della Repubblica Italiana. Roma, 8 jan. 1997.
MONDUCCI, Juri. Diritti della persona e trattamento dei dati particolari. Milão: Giuffrè, 2003.
MORAES, Alexandre de. Direito constitucional. 32. ed. São Paulo: Atlas, 2016.
PARLAMENTO EUROPEU. Diretiva nº 46, de 24 de outubro de 1995. Jornal Oficial das Comunidades Europeias. [S. l.], 23 nov. 1995.
PARLAMENTO EUROPEU. Regulamento nº 679, de 27 de abril de 2016. Jornal Oficial da União Europeia. [S. l.], 04 maio 2016. p. 1-88.
PINHEIRO, Patrícia Peck Garrido. Nova lei brasileira de proteção de dados pessoais (LGPD) e o impacto nas instituições públicas e privadas. Revista dos Tribunais, São Paulo, vol. 1000/2019, p. 309-323, fev., 2019.
REINO UNIDO. Data Protection Act, de julho de 1998. The Stationery Office. 9th Impression. Londres, abr. 2005.
SILVA, José Afonso da. Curso de direito constitucional positivo. 40. ed. São Paulo: Malheiros, 2017.
[1] Criptoanalista é aquele que faz a criptoanálise, conjunto de métodos que tem por objetivo descodificar ou decifrar criptogramas.
[2] Transpôs para a ordem jurídica portuguesa a Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados. Tal norma encontra-se revogada pela Lei n.º 58/2019, de 8 de agosto, lei de execução do RGPD europeu.
[3] “personal data means data which relate to a living individual who can be identified”.
