Autora: Ana Beatriz Rodrigues é advogada criminalista, formada pela UNIP- Capus S.J.Rio Preto II em 2019. Pós graduanda em direito público, direito empresarial e direito constitucional aplicado pela Faculdade Legale. e-mail: [email protected]
Resumo: Esta monografia visa proporcionar uma visão geral sobre a Lei Lei nº 13.709/2018 conhecida como “Lei geral de proteção de dados” (LGPD) e traçar um paralelo com o escândalo que envolveu as empresas Cambridge Analytica e Facebook em 2016 para que possamos avaliar a sua real eficácia e necessidade. Iniciamos abordando o polêmico e conturbado caso da Cambridge Analytica para iniciar a reflexão acerca do poder e da importância dos dados e de sua proteção e em seguida, explicamos o que são os dados e como eles têm sido explorados economicamente. Passamos a abordar a lei geral de proteção de dados sob um prisma crítico, iluminando as consequências de seus vetos e como eles põem em xeque a segurança nacional e possibilitam a ocorrência de um escândalo maior que aquele que desencadeou o fechamento da empresa britânica Cambridge Analytica. Por fim, trabalhamos os impactos da lei na rotina e confiabilidade das empresas.
Palavras-chave: Dados. Cambridge Analytica. LGPD. Privacidade.
Abstract: This monograph aims to provide an overview of Law No. 13,709 / 2018 known as the “General data protection law” (LGPD) and draw a parallel with the scandal that involved the companies Cambridge Analytica and Facebook in 2016 so that we can evaluate the its real effectiveness and necessity. We begin by addressing the scandalous case of Cambridge Analytic to start reflecting on the power and importance of data and its protection. Next, we explain what the data is and how it has been exploited economically. We began to approach the general data protection law in a critical light, illuminating the consequences of their vetoes and how they put national security in check and make it possible for a bigger scandal to occur than the one that triggered the British company Cambridge Analytica to close. Finally, we work on the impacts of the law on companies’ routine and reliability.
Keywords: Data. Cambridge Analytica. LGPD. Privacy.
Sumário: Introdução 1.Entendendo o caso Cambridge Analytica. 1.1 Cambridge Analytica. 1.2 Eleições norte-americanas de 2016. 2. Precedentes legislativos da LGPD. 3. Lei geral de proteção de dados. 3.1 princípios e conceitos da LGPD. 4. Vetos sofridos pela LGPD. 4.1 O que é o veto?. 4.2. Os vetos á LGPD. 5. O poder econômico dos dados 6. Os benefícios da LGPD para as empresas. Conclusão. Referências.
Introdução
A presente monografia tem como objetivo repensar a eficácia de Lei nº 13.709/2018 conhecida como “Lei geral de proteção de dados” (LGPD) e forma como tratamos nossos dados.
Para isso, abordaremos aspectos históricos legislativos que antecederam á criação desta lei.
Iniciaremos o trabalho expondo o caso da Cambridge Analytica para expor a importância de se regulamentar o armazenamento e tratamento de dados.
Em seguida trataremos sobre as leis que já imperavam nosso ordenamento jurídico com objetivo de tutelar a privacidade, além de levantar discussão sobre o próprio conceito de privacidade.
Por derradeiro, ressaltaremos a importância de se ter a transparência como pilar de relacionamento entre as empresas e seus clientes e os impactos positivos da LGPD em nossas vidas.
1.Entendendo o caso Cambridge Analytica
1.1 Cambridge Analytica
Criada em 2013, como desdobramento da empresa de pesquisa comportamental e comunicação estratégica britânica SCL Group- fundada em 1990 por Nigel Oakes-, a Cambridge Analytica foi uma empresa de mineração e analise de dados.
Enquanto a maioria das agências faziam uso de demográficos como gênero, estado civil e hábitos de compras conforme o estilo de vida para alcançar o público alvo, a Cambridge Analytica organizava e combinava dados de maneira individualizada.
Essa agência percebeu que não fazia sentido algum em mostrar determinado conteúdo para um grupo de pessoas só por ser mulher, ou ser casado ou afro-americano porque por mais importante que essas informações possam ser, elas não dizem nada sobre a personalidade de alguém.
Começaram, então, a captar dados mais precisos como o que as pessoas comentam, o que elas curtem e compartilham em suas redes sociais, o quão abertas elas são à novas ideias e quais o valores dela. Assim, poderiam prever o que chega ou não ao racional e emocional de cada pessoa.
Os dados eram combinados com dados preexistente num banco para identificar a audiência chave e adicionar uma camada extra de personalidade e agrupar pessoas com interesses em comum e, desta forma, criar uma conexão mais profunda e inteligente de dados para promover uma campanha de marketing impactante e capaz de gerar ações reais e reduzir custos como anúncios que não fariam o efeito esperado pela campanha.
A Cambridge Analytica promoveu, por anos, uma mudança de comportamento baseada em dados.
Em 2015, destacou-se por sua atuação na inteligência estratégica por trás da campanha presidencial de Ted Cruz e após seu fracasso nesta, alterou seus algoritmos para trabalhar para a Campanha presidencial do empresário Donald Trump, que veio a ser eleito o 45º (quadragésimo quinto) presidente dos Estados Unidos da América.
Entretanto a empresa veio a declarar falência e fechar as portas em 2018, após ficar mundialmente conhecida por um escândalo envolvendo a rede social Facebook e as eleições presidenciais norte-americanas de 2016.
1.2 Eleições norte-americanas de 2016
Em 2014 algumas pessoas receberam e responderam a um quiz no Facebook, mais ou menos como da imagem abaixo.
Figura1: Questionário
Fonte: elaborado pela autora, 2021.
Ao responderem esse quiz elas compartilharam seus dados pessoais e de seus amigos com a companhia que trabalhou na campanha presidencial de Donald Trump em 2016.
A Cambridge Analytica, em parceria com o professor Aleksandr Kogan- que até então usava o facebook para colher dados para pesquisas acadêmicas- começou uma pesquisa através do Facebook, enviando quizes para aproximadamente 300.000 (trezentos mil) norte-americanos.
O quiz consistia num, aparentemente, inóculo teste com cerca de 100 traços de personalidade que, ao final, rendiam 5 dólares para a pessoa que o respondesse.
Ao acessar o facbook para responder ao quiz, a pessoa dava a Kogan acesso ao seu perfil, o que incluía não só seu aniversário, amigos e localização, mas também seus likes.
Kogan traçava um paralelo entre o resultado do quiz com os dados coletados através do facebook para traçar um tipo de modelo psicométrico, um perfil de personalidade.
Depois, ele combinou os dados com registros eleitorais e os enviou para a Cambridge Analytica. Esses dados eram o coração de como eles perfilaram os traços exploráveis dos eleitores.
O aplicativo utilizado para realização do quis, que se chamava “this is your digita llife” (essa é sua vida digital, em português), também coletava dados pessoais dos amigos de quem havia respondido o teste, compilando perfis semelhantes aqueles.
Na época a política do Facebook admitia a coleta de dados de amigos da pessoa por aplicativos externos, desde que esses dados fossem coletados para melhorar a experiência do usuário no uso do aplicativo. A mercantilização desses dados ainda que fosse proibida não era adequadamente fiscalizada pela rede social, o que a Cambridge Analytica viu como uma brecha.
Em questão de meses 270.000 (duzentos e setenta mil) pessoas haviam respondido a enquete fornecendo dados seus e de seus amigos. Cerca de 87 (oitenta e sete) milhões de amigos dessas pessoas tiveram seus dados coletados, o que representa um quarto dos usuários do Facebook nos Estados Unidos.
A Cambridge Analytics passou a usar esses dados para catalogar e enviar mensagens políticas para as pessoas. O que impulsionou, e muito, a campanha de Donald Trump. Contando, inclusive com a propagação de fake News (notícias falsas).
A estratégia consistia em, basicamente, mostrar aos eleitores aquilo que eles queriam ver e relacionar ao candidato, de forma a ativar gatilhos emocionais que motivassem a pessoa a votar dele.
Outro caso onde os dados foram usados indevidamente foi na votação para o “brexit”.
Ao compartilhar as informações com a Cambridge Analytica, Kogan violou a política do Facebook porque alegava que tais dados eram para fins estritamente acadêmicos. Além dos dados terem sido utilizados sem o consentimento de seus donos.
O Facebook alega que tomou conhecimento dos fatos apenas quando o caso se tornou público e redesenhou sua política de privacidade e passou a aderir medidas para evitar o acesso indevido de dados por aplicativos rodados na plataforma. Além disso, a rede social firmou acordo com a justiça norte-americana consistente no pagamento de cinco bilhões de dólares em indenização pela violação de privacidade de seus usuários.
- Precedentes legislativos da LGPD
Os escândalos de vazamento de dados de grandes companhias como o da Sony, em 2015, Wikileaks em 2010, e o aqui tratado Cambridge Analytica fazem parecer que a proteção de dados e a privacidade virtual são temas que não estiveram em pauta antes. Percepção totalmente equivocada.
Há décadas a questão da proteção dos dados vem sendo estudada e codificada pelo mundo, entretanto tais mecanismos de proteção e seu debate tem se tornado popular dado o impacto global desses escândalos.
Nascida no mesmo momento histórico em que se realizavam julgamentos dos nazistas perante o tribunal militar montado em Nuremberg e visando evitar que as atrocidades da Segunda Guerra Mundial se repetissem futuramente, em 10 de dezembro de 1948 a Assembleia Geral da ONU proclamou a Declaração Universal do Direitos Humanos.
A referida declaração, ainda que não cogente, já que possui natureza de resolução, é o principal instrumento do sistema global de direitos humanos e consolida o direito á privacidade como direito fundamental:
“Artigo 12
Ninguém será sujeito à interferência na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataque à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques.”
Essa previsão foi pontapé inicial para que, com o avanço da tecnologia computacional e a crescente automatização de processos de produção, países da Europa se preocupassem em legislar acerca da proteção dos dados de seus cidadãos.
Em 1970 a Alemanha foi pioneira no assunto. Foi aprovado no estado alemão de Hesse o Hessiches Datenschutzgesetz (Ato de Proteção de Dados de Hesse).
Apesar das atualizações, a lei de Hesse segue tendo 7 (sete) princípios bases:
- Somente por autorização legal ou dada expressamente pelo titular dos dados que os mesmos podem ser armazenados e utilizados;
- Coleta de dados somente se fornecidos diretamente pelo seu titular, ressalvada autorização legal para tal. É a denominada coleta direta;
- Os dados não podem ser mantidos por muito tempo, deve haver um tempo limite para o armazenamento e passado esse tempo os dados devem ser excluídos;
- Deve-se coletar e processar o mínimo de dados possível;
- Deve haver uma limitação de finalidade para o processamento de dados, salvo autorização expressa de seus donos;
- Deve haver transparência na utilização dos dados. O titular dos dados deve ter prévio conhecimento da finalidade da coleta dos dados;
- A coleta dos dados deve ser necessária e devem inexistir outros meios de se obter as informações.
Apesar de ter sido desenvolvida no inicio da década de 70, a lei de Hesse só foi finalizada e implementada em 1978. Mesmo ano em que outros países europeus, como França, Suécia e Noruega criaram suas próprias leis sobre a coleta e uso de dados dos seus cidadãos.
A Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados, ou pela sua abreviação LGPD, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Decretada pelo Congresso Nacional em 14 de agosto de 2018, entrou em vigor em 18 de setembro de 2020.
Composta por 65 artigos que são distribuídos em 10 Capítulos. Fortemente inspirado no Regulamento Geral de Proteção de Dados (GDPR, em sua sigla em inglês) que é a regulação europeia de armazenamento e tratamento de dados.
Ainda que a lei tenha elencado em seus artigos fundamentos, princípios e explicações sobre os termos utilizados, existem alguns conceitos e direitos que são anteriores á edição desta, dentre estes o conceito de privacidade.
Em 1890 foi publicado pela Harvard Law Review o ensaio “the right of privacity” (direito á privacidade, em tradução livre) escrito por Samuel Warren e Louis Brandeis como retaliação ao jornalismo de tabloides que surgia na alta sociedade norte-americana.
Warren e Brandeis defendiam que privacidade é o direito da pessoa em ficar só, reclusa da sociedade e sem por essa ser notada.
O direito a privacidade já era protegido pelo nosso ordenamento jurídico desde a promulgação da Carta Maior de 88 que em seu artigo 5º que versa sobre os direitos e garantias fundamentais:
“X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;”
Em seu 72º inciso, o referido artigo traz o mecanismo “habeas datas”, remédio constitucional que permite ás pessoas terem acesso a seus dados mantidos pelo Estado bem como algum controle sobre sua correição.
“LXXII – conceder-se-á “habeas-data”:
- a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público;
- b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo;”
Em 2002 o Código Civil reforça essa proteção em seu artigo 21 ao dispor que “A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”.
Outro importante diploma legal sobre o assunto é a Lei nº 8.078, de 11 de setembro de 1990, conhecida como código de defesa do consumidor, que em diversos artigos tutela o consentimento de uso e a proteção dos dados. Tendo, inclusive uma seção exclusiva sobre o tema:
“SEÇÃO VI
Dos Bancos de Dados e Cadastros de Consumidores
Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.
- 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.
- 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.
- 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.
- 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.
- 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.
- 6oTodas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.
Art. 44. Os órgãos públicos de defesa do consumidor manterão cadastros atualizados de reclamações fundamentadas contra fornecedores de produtos e serviços, devendo divulgá-lo pública e anualmente. A divulgação indicará se a reclamação foi atendida ou não pelo fornecedor.
- 1° É facultado o acesso às informações lá constantes para orientação e consulta por qualquer interessado.
- 2° Aplicam-se a este artigo, no que couber, as mesmas regras enunciadas no artigo anterior e as do parágrafo único do art. 22 deste código.”
Outro importante diploma legal que antecede a Lei Geral de Proteção de Dados é a Lei nº 12.965, de 23 de abril de 2014, conhecida como a constituição da internet. Estabelece, em 32 artigos, princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
- Lei geral de proteção de dados
Diversos fatores políticos e econômicos, como a CPI da Espionagem, o nascimento da Lei n° 12.965/2014 e o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) fizeram com que o Congresso aprovasse os Projetos de lei 4.060/2012, 330/2013 e 5.276/2016, que foram essenciais para a construção do Projeto de Lei nº 53/2018 que daria origem a LGPD.
Criada para harmonizar os interesses legítimos de titulares de dados e de empresas e colocar o Brasil no patamar dos países que conferem segurança jurídica adequada à proteção de dados pessoais, a LGPD traz novos desafios e metas a serem alcançadas em termos de confiabilidade de dados.
3.1 Princípios e conceitos da LGPD
A própria Lei Geral de Proteção de Dados traz em seu corpo os seus princípios norteadores:
“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”
Os princípios norteadores são princípios que sempre devem ser conjuntamente considerado para a aplicação da lei.
A lei também apresenta conceitos para termos nela constante, conforme podemos ver no artigo 5:
“Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX – agentes de tratamento: o controlador e o operador;
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.”
Os conceitos trazidos pelo legislador devem ser usados sempre que os termos forem empregados na lei para sua interpretação uniforme e precisa, sem que haja brechas para especulações quanto ao espirito da lei.
- Vetos sofridos pela LGPD
Antes de entrar em vigor, a LGPD sofreu vetos presidenciais que alteram e comprometem significativamente sua eficiência e credibilidade.
4.1 O que é o veto?
Antes de expor os pontos que foram alvo de veto presidencial, faz-se mister tecer sutis e cirúrgicas pinceladas acerca do que vem a ser e como se consolida esse veto.
Podemos dizer, dentro dos ensinamentos de Vicente Paulo e Marcelo Alexandrino (2017, p.518) que o veto é a manifestação de discordância do chefe do poder executivo com o projeto de lei aprovado pelo poder legislativo. É um ato irretratável.
É um dos mecanismos do sistema de freios e contrapesos.
Previsto no artigo 66 da Carta Magna, o veto é um ato formal, sempre escrito e deve ser obrigatoriamente motivado.
O veto pode ser político ou jurídico. O político ocorre quando a matéria é contrária ao interesse público e é jurídico quando se entende que há uma incompatibilidade entre o projeto de lei a ser provado e a constituição federal ou a legislação infraconstitucional.
Quando o chefe do executivo realiza veto jurídico ao vetar o projeto de lei por inconstitucionalidade, está, o presidente da república, desempenhando o papel de defensor da constituição e, assim, realizando o controle de constitucionalidade preventivo.
O veto em sua abrangência pode ser parcial ou total.
O veto, total ou parcial, pode ser apresentado em até 15 dias úteis a contar do recebimento do projeto pelo chefe do poder executivo, que deverá comunicar o Senado federal os motivos do veto no prazo de 48 horas.
Se for parcial, sofrerá limitações, pois deve recair sobre o texto integral do arquivo parágrafo inciso ou da alínea. Não se pode, também, mudar o espírito do projeto aprovado pelo parlamento.
O veto parcial não impede que a parte não vetada e, portanto, sancionada venha a ser publicada e promulgada de imediato independentemente da apreciação do poder legislativo.
Uma vez formalizado e comunicado ao presidente do Senado federal o chefe do poder executivo não pode desistir do veto e também não pode o submeter a alterações.
Não existe, no ordenamento jurídico brasileiro, a figura do veto tácito, entretanto o silêncio implicará em sanção tácita.
O veto será apreciado pelo Congresso Nacional em sessão conjunta dentro de 30dias a contar do seu recebimento só podendo ser rejeitado pelo voto da maioria absoluta dos deputados e Senadores em escrutínio aberto.
O Congresso Nacional pode rejeitar apenas parte do veto imposto pelo presidente da república, é o que se chama de superação parcial do veto.
Quando o veto é rejeitado pelo Congresso Nacional a lei segue para promulgação pelo presidente da república que terá 48 horas para fazê-lo. Esgotado o prazo sem manifestação do chefe do executivo, a competência passa para o presidente do Senado federal que terá dois dias para promulgar o projeto de lei. Diante da inércia deste, a competência é transferida ao vice-presidente do Senado federal.
Por respeito à separação dos poderes não se admite o controle das razões do veto, mas apenas dele próprio por constituir, o veto, um ato político do chefe do poder executivo.
4.2 Os vetos á LGPD
O corpo da lei nº 13.709, de 14 de agosto de 2018 traz em suas costas o peso de 05 (cinco) pesadas mensagens de veto. Das quais abordaremos apenas os pontos mais relevantes.
Sofreu veto presidencial o artigo 20, que tratava sobre uma revisão humana de decisões tomadas por algoritmos.
O texto passou por duas alterações. Dispunha a redação original:
“Art. 20. O titular dos dados tem direito a solicitar revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade”.[1]
Com a nova redação a revisão humana perdeu a obrigatoriedade, sendo permitida, assim, a revisão por outro algoritmo.
“Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade”.
É por isso que, por exemplo, se hoje você tentar cancelar um serviço ou conseguir uma informação no banco, poderá passar horas sendo remanejado de uma secretária eletrônica para outra sem conseguir falar com um atendente de verdade.
Outro ponto sensível foi o inciso II do art. 23, promovendo a queda da proteção á quem usa a lei de acesso à informação, uma lei criada em 2012 que permite que qualquer cidadão solicite informações de órgãos públicos federais. Lei muito importante para que a população possa fiscalizar as ações do governo.
Assim dispunha o corpo legislativo do Inciso II do art. 23:
“II – sejam protegidos e preservados dados pessoais de requerentes de acesso à informação, nos termos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), vedado seu compartilhamento no âmbito do Poder Público e com pessoas jurídicas de direito privado;
Razões do veto: O dispositivo veda o compartilhamento de dados pessoas no âmbito do Poder Público e com pessoas jurídicas de direto privado. Ocorre que o compartilhamento de informações relacionadas à pessoa natural identificada ou identificável é medida recorrente e essencial para o regular exercício de diversas atividades e políticas públicas. É o caso, por exemplo, do banco de dados da Previdência Social e do Cadastro Nacional de Informações Sociais, cujas informações são utilizadas para o reconhecimento do direito de seus beneficiários e alimentados a partir do compartilhamento de diversas bases de dados administrados por outros órgãos públicos. Ademais, algumas atividades afetas ao poder de polícia administrativa poderiam ser inviabilizadas, a exemplo de investigações no âmbito do Sistema Financeiro Nacional, dentre outras”.[2]
Isso significa que, agora o governo pode compartilhar dados de quem utilizar a lei de cesso á informação, o que pode provocar retaliações a quem pede informações que possam, de alguma forma, envergonhar o próprio governo.
O governo alterou um trecho dos artigos 55 ao 59, que criava uma autarquia livre de qualquer influencia política e econômica. A Autoridade Nacional de Proteção de Dados (ANPD), seria a agência que asseguraria o cumprimento da lei, em outras palavras, seria responsável pela fiscalização e aplicação das sanções em caso de descumprimento da lei.
Em que pese a vinculação entre a ANPD e o Ministério da Justiça, essa se daria sem o vinculo de subordinação entre essa e aquela.
Seu corpo seria construído por um Conselho diretor composto por três membros, além de um Conselho Nacional de Proteção de Dados Pessoais, formado por 23 representantes do poder público e da sociedade civil.
Essa era uma exigência para que o nosso sistema de proteção de dados pudesse ser considerado adequado e seguro pelos países europeus e a gente conseguisse se beneficiar do fluxo de dados internacionais. Abaixo a transcrição do trecho vetado:
“Art. 55. É criada a Autoridade Nacional de Proteção de Dados (ANPD), integrante da administração pública federal indireta, submetida a regime autárquico especial e vinculada ao Ministério da Justiça.
- 1º A ANPD deverá ser regida nos termos previstos na Lei nº 9.986, de 18 de julho de 2000.
- 2º A ANPD será composta pelo Conselho Diretor, como órgão máximo, e pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, além das unidades especializadas para a aplicação desta Lei.
- 3º A natureza de autarquia especial conferida à ANPD é caracterizada por independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira.
- 4º O regulamento e a estrutura organizacional da ANPD serão aprovados por decreto do Presidente da República.
- 5º O Conselho Diretor será composto por 3 (três) conselheiros e decidirá por maioria.
- 6º O mandato dos membros do Conselho Diretor será de 4 (quatro) anos.
- 7º Os mandatos dos primeiros membros do Conselho Diretor serão de 3 (três), 4 (quatro) e 5 (cinco) anos, a serem estabelecidos no decreto de nomeação.
- 8º É vedado a ex-conselheiro utilizar informações privilegiadas obtidas em decorrência do cargo exercido, sob pena de incorrer em improbidade administrativa.
Art. 56. A ANPD terá as seguintes atribuições:
I – zelar pela proteção dos dados pessoais, nos termos da legislação;
II – zelar pela observância dos segredos comercial e industrial em ponderação com a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
III – elaborar diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V – atender petições de titular contra controlador;
VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
VII – promover estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, que deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, observado o respeito aos segredos comercial e industrial;
XI – solicitar, a qualquer momento, às entidades do Poder Público que realizem operações de tratamento de dados pessoais, informe específico sobre o âmbito e a natureza dos dados e os demais detalhes do tratamento realizado, podendo emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII – elaborar relatórios de gestão anuais acerca de suas atividades;
XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, assim como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco para a garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante, assim como prestar contas sobre suas atividades e planejamento;
XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas; e
XVI – realizar ou determinar a realização de auditorias, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluindo o Poder Público.
- 1º Ao impor condicionamentos administrativos ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei.
- 2º Os regulamentos e normas editados pela ANPD devem necessariamente ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.
Art. 57. Constituem receitas da ANPD:
I – o produto da execução da sua dívida ativa;
II – as dotações consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos;
III – as doações, os legados, as subvenções e outros recursos que lhe forem destinados;
IV – os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade;
V – os valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo;
VI – o produto da cobrança de emolumentos por serviços prestados;
VII – os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais ou internacionais;
VIII – o produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.”
“Art. 58. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por 23 (vinte e três) representantes titulares, e seus suplentes, dos seguintes órgãos:
I – 6 (seis) representantes do Poder Executivo federal;
II – 1 (um) representante indicado pelo Senado Federal;
III – 1 (um) representante indicado pela Câmara dos Deputados;
IV – 1 (um) representante indicado pelo Conselho Nacional de Justiça;
V – 1 (um) representante indicado pelo Conselho Nacional do Ministério Público;
VI – 1 (um) representante indicado pelo Comitê Gestor da Internet no Brasil;
VII – 4 (quatro) representantes da sociedade civil com atuação comprovada em proteção de dados pessoais;
VIII – 4 (quatro) representantes de instituição científica, tecnológica e de inovação; e
IX – 4 (quatro) representantes de entidade representativa do setor empresarial afeto à área de tratamento de dados pessoais.
- 1º Os representantes serão designados por ato do Presidente da República, permitida a delegação, e terão mandato de 2 (dois) anos, permitida 1 (uma) recondução.
- 2º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada atividade de relevante interesse público, não remunerada.
- 3º Os representantes referidos nos incisos I a VI do caput deste artigo e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades.
- 4º Os representantes referidos nos incisos VII, VIII e IX do caput deste artigo e seus suplentes serão indicados na forma de regulamento e não poderão ser membros da entidade mencionada no inciso VI do caput deste artigo.
Art. 59. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
I – propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
II – elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
III – sugerir ações a serem realizadas pela ANPD;
IV – realizar estudos e debates sobre a proteção de dados pessoais e da privacidade; e
V – disseminar o conhecimento sobre proteção de dados pessoais e da privacidade à população em geral.”
Razão dos vetos: Os dispositivos incorrem em inconstitucionalidade do processo legislativo, por afronta ao artigo 61, § 1º, II, ‘e’, cumulado com o artigo 37, XIX da Constituição”.[3]
Com essas modificações além de estarmos abaixo dos padrões internacionais, no que tange á proteção de dados, também temos seriamente comprometida a transparente atuação do governo e, por seguinte, a própria eficácia da lei.
- O poder econômico dos dados
Em setembro de 2019 fora publicado e disponibilizado na página do Fundo Monetário Internacional (FMI) um o artigo denominado “The Economics and Implications of Data : An Integrated Perspective” (“A Economia e as Implicações dos Dados: Uma Perspectiva Integrada” em tradução livre ), escrito por Vikram Haksar e Yan Carriere-Swallow, deu luz ao questionamento que deu nome ao presente capitulo: seriam os dados o novo petróleo?
Há mais de 160 anos o petróleo tem sido uma fonte de riqueza e energia, causador de inúmeras disputas armadas entre nações. Entretanto, por ser um combustível fóssil é um recurso finito, o que significa que em algum dia deixará de existir e, consequentemente, de gerar riqueza.
Já os dados são produzidos diariamente e aos montes. A cada segundo, a cada passo, a cada respiração. Literalmente a cada respiração para aqueles que usam relógios digitais com monitores cardíacos como o Apple Watch, da norte-americana Apple, e o MiBrand, da rival chinesa, Xiaomi.
Parece algo inofensivo: você sai para correr e o seu smartphone te avisa quantos passos você deu, quantos quilômetros esses passo correspondem, quantas calorias você perdeu, sua pressão arterial e sua frequência cardíaca durante o treino. Todas essas informações são dados que podem vir a ser monetizados de alguma forma.
Quando pesquisamos sobre algum produto e, em seguida, passamos dias sendo bombardeados por anúncios relativos a aquele tipo de produto, mesmo que não estejamos mais o buscando.
Quando conversamos com alguém pelo celular e começam a surgir diversos anúncios referentes a algo que foi mencionado na conversa. Quando você deixa de curtir uma foto de algum amigo, com quem você tem conversado menos pelas redes sociais, por não ter aparecido no seu feed.
Esses eventos são resultados da captação de dados, que ocorre o tempo inteiro. Ela está acontecendo exatamente agora, enquanto escrevo essa monografia em um computador conectado a uma rede de internet.
A captação de dados nos oferece diversas comodidades, como facilitar um trajeto, monitorar a saúde, acionar as luzes antes de chegar em casa, mas também põe nossa segurança em risco e pode ser usada até para manipular nossas relações humanas e de consumo, como ocorreu no curso das eleições presidenciais dos Estados Unidos da América em 2016 e o BREXIT, como já exposto no segundo capitulo da presente monografia.
Os dados podem ser usados como fator de produção já que possibilitam o direcionamento de conhecimento para a melhora de um bem existente ou no desenvolvimento de um novo produto ou serviço com base nas reclamações de produtos já existentes ou queixas de falta de comodidade.
O dado de uma só pessoa raramente chegaria a valer um dólar, mas um banco de dados com informação de milhares de pessoas pode ultrapassar a casa dos milhões. Não atoa que as empresas que levam status de unicórnio- as que valem mais de um bilhão de dólares- são, em sua maioria, empresas de dados.
É importante termos leis que regulem a extração e manutenção de dados para evitar que empresas enriqueçam de forma ilícita, antiética e abusiva.
6. Os benefícios da LGPD para as empresas
Um dos benefícios trazidos pela adequação à LGPD é a otimização de rede, organização dos dados e libração de espaço em nuvens e servidores.
A necessidade de organização e transparência com a gestão e armazenamento de dados aproxima o cliente da empresa já que inspira confiabilidade, o que permite criara bases mais sólidas na relação empresarial e possibilita expansão do negócio, além de auxiliar na busca de investidores e parceiros.
A implementação da LGPD visa uma redução de possibilidade de vazamento de dados, bem como do seu emprego incorreto. Tanto as informações dos clientes como as informações e ideias da empresa encontram-se cobertas de maior proteção, o que evita prejuízos, principalmente os financeiros.
Conclusão
O tema é de grande relevância social e está atrelado aos direitos fundamentais e humanos, mais precisamente o direito á privacidade consagrado em plano internacional no bojo da Declaração Universal dos Direitos Humanos e, em âmbito nacional, na Carta Maior vigente.
Tratamos, no presente trabalho, sobre o caso Cambridge Analytica que foi um dos maiores escândalos no que tange á captação, retenção e vazamento de dados por empresas.
Apesar de ter seu corpo inspirado na inteligência de dispositivos estrangeiros, em especial europeus, a Lei Geral de Proteção de dados encontra precedentes nacionais, já que o ordenamento pátrio já contemplava alguma proteção aos dados e a privacidade em legislação esparsa como o Código de Defesa do Consumidor e a Lei de Acesso á Informação.
A Lei 13709 de 2018, visando a correta e uniforme aplicação de seu texto, traz em seu corpo os princípios a ela aplicáveis e os conceitos dos termos nela empregados.
O texto original da LGPD sofreu diversas alterações devia aos vetos em pontos sensíveis de sua redação. Os vetos sofridos afetam, principalmente, a aplicabilidade prática dos mecanismos de proteção aos dados, o que pode comprometer não só a eficácia da lei, mas a participação do Brasil na troca internacional de dados.
Os vetos, além de restringirem a eficácia almejada pelo legislador, ainda compromete institutos já existentes desde antes da introdução da lei no ordenamento pátrio como a revisão de decisões tomadas pela inteligência artificial e a quebra do sigilo que garantia a segurança de quem quisesse fiscalizar os gastos e ações do governo por meio da Lei de acesso á informação.
Um dos motivos pelo qual devemos zelar pela segurança e transparência no manejo dos dados é o seu valor econômico, já que por ele podemos criar e aperfeiçoar tecnologias e até mesmo manipular ações humanas.
Apesar dos obstáculos á plena eficácia da lei é inegável sua importância para a solidificação das relações empresariais já que tende a criar um mercado que prioriza a transparência e a segurança, o que abre portas para criação de métodos alternativos e mais seguros de captação e gerenciamento de dados, valorizando e concretizando a dignidade da pessoa humana.
Referências
Der hessische beauftragte für datenschutz und informationsfreiheit. Erstes datenschutzgesetz der welt -geschichte des datenschutzes.disponível em: < https://datenschutz.hessen.de/ueber-uns/geschichte-des-datenschutzes>.acesso em: 27.mar.2021.
GARCIA, Gustavo;VIVAS, Fernanda. Congresso mantém cinco de seis vetos de Bolsonaro; votação de veto a regras eleitorais é adiada. Disponível em: < https://g1.globo.com/política/noticia/2019/10/02/congresso-mantem-cinco-de-seis-vetos-de-bolsonaro-votacao-de-veto-a-regras-eleitorais-e-adiada.ghtml> Acesso em: 12.fev.2021.
G1.Facebook pagará multa recorde de us$ 5 bilhões por violação de privacidade.Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/2019/07/24/facebook-pagara-multa-de-us-5-bilhoes-por-violacao-de-privacidade.ghtml>. Acesso em: 10 abr. 2021.
HAKSAR,Vikram; CARRIERE-SWALLOW, Yan. The Economics and Implications of Data : An Integrated Perspective. Disponível em: <https://www.imf.org/en/Publications/Departmental-Papers- policyPapers/Issues/2019/09/20/The-Economics-and-Implications-of-Data-An-Integrated-Perspective-48596> Accesso em: 1. Mar. 2020.
MARS, Amanda.Como a desinformação influenciou nas eleições presidenciais?. Disponivel em: < https://brasil.elpais.com/brasil/2018/02/24/internacional/1519484655_450950.html> Acesso em: 10.abr.2021.
MENÁRGUEZ,Ana Torres. Facebook compartilhou dados dos usuários com fabricantes de celulares. Disponivel em: < https://brasil.elpais.com/brasil/2018/06/04/tecnologia/1528102021_796611.html#:~:text=Agora%20vem%20%C3%A0%20tona%20um,publicou%20The%20New%20York%20Times>
[1] Planalto.gov
[2] Planalto.gov
[3] Planalto.gov