A lei geral de proteção de dados, LGPD, e a burocratização das relações digitais
1. RESUMO.
O presente trabalho realizou o estudo da Lei de proteção de dado, conhecida como LGPD, n. 13.709/2018, elevada a estatura Constitucional com a promulgação da Emenda Constitucional 115/22, em 10 de fevereiro de 2022. Assim, abordamos os pontos que entendemos importantes para o entendimento deste inovador marco regulatório. Além disso, realizamos o comparativo com as exigências comerciais da União Europeia através do Regulamento Geral de Proteção de dados pessoais n. 679 – (GDPR), sobre a exigência de Países para a elaboração de Lei de proteção de dados a fim de manterem relações comerciais. Buscamos abordar as principais conceituações dos termos técnicos da Lei e a sua estrutura de forma simplificada, das sanções ao descumprimento, e das medidas de adequação à norma, a criação de Autarquia Regulatória da internet. E, por fim, tecemos nosso ponto de vista, acerca das dificuldades de sua implementação, questionamentos da sua eficiência prática, os aumentos de custos para a implementação, o excesso regulatório que poderá inclusive comprometer a liberdade do uso da internet como já ocorreu na União Europeia com a polêmica do artigo 13 da Diretiva sobre Direito Autoral 2016/0280, que prevê a fiscalização prévia de upload’s comprometendo e censurando a produção de conteúdo nas plataformas de streaming. E concluímos que a efetividade da Lei é inefetiva na prática, e que somente a conscientização da exposição, inevitável, na internet e os dados que pretende disponibilizar são capazes de proteger o indivíduo e a atuação menos burocráticas de empresas privadas e públicas podem preservar os dados e a efetiva liberdade e privacidade.
2. INTRODUÇÃO.
A presente análise tem como finalidade a tentativa de fomentar, incentivar e despertar o interesse pelo o estudo e aprofundamento da LGPD e dessa nova sociedade digital na qual vivemos e suas aplicações e consequências positivas e negativas.
Assim, abordaremos de forma sucinta, modestamente, os pontos que entendemos importantes, com a finalidade de contribuir para os debates sobre esta importante regulamentação sobre tratamento de dados pessoais, bem como um exame crítico sobre eventual distanciamento da realidade, com a burocratização da relação digital e verdadeira abertura de um caminho para o cerceamento da liberdade de forma disfarçada. E, assim, concluirmos com a nossa sugestão para a melhor aplicação da Lei na prática.
Apesar do entusiasmo sobre a Lei e até a sua elevação de Estatura Constitucional pela EC 115/22, alterando em especial o artigo 5º, LXXIX, acreditamos que a Lei 13.709/2018 apresenta certa ingenuidade prática, uma intenção comercial, imaturidade, e um lado sombrio de regulação da internet, na qual discorreremos.
Uma crítica preliminar consiste na elaboração de uma Lei predominantemente principiológica o que perder a objetividade e a devida prioridade e atenção aos termos específicos da Lei, que a meu ver consiste, principalmente, à priore, e em primeira vista na proteção de relações comerciais virtuais.
Tendo em vista a exigência comercial da União Europeia pela elaboração da Regulamento Geral de Proteção de dados pessoais n. 679 – (GDPR), que exige que os mesmos cuidados com as informações pessoais e negociais sejam prestados pelos países envolvidos.
Portanto, a finalidade da Lei está longe de apenas assegurar as liberdades e garantias constitucionais, e sim empenhadas na continuidade de transações comerciais, e maior controle do uso da internet.
3. DA ESTRUTURA E DEFINIÇÕES DE TERMOS APRESENTADOS DA LEI.
A presente lei que é dividida em 65 artigos, analisaremos os que entendemos mais importantes para sua compreensão. Assim começaremos pelo o artigo 1º, que como toda boa elaboração de lei, descreve as finalidades e objetivos, e que são basicamente:
· Finalidade: tratamento de dados pessoais;
· Objetivo: proteger liberdade, privacidade, livre desenvolvimento da personalidade da pessoa natural, e ainda;
· Aplicação: são aplicáveis a entidade públicas e empresas privadas, pessoa natural ou jurídica, sem distinção de setor ou categoria profissional.
Ao examinar o artigo 2º da referida Lei, verifica-se uma preocupação maior com questões principiológicas do direito, do que com a preocupação específicas da regulação tecnológicos pretendidas. A Lei traz mais uma preocupação com termos relacionados ao direito e o já preceituada na Constituição Federal do que os meios de garantia da eficaz solução da violação dos dados que se visa tutelar.
Assim dispõem o artigo 2º:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Logo uma violação sem expor uma pessoa de forma prejudicial as garantias constitucionais, não aparenta haver prejuízo e violação à lei.
Já no seu artigo 4º apresenta exceções a aplicação da Lei na qual se inclui:
· Pessoas particulares e fins não econômicos;
· Jornalísticos e artístico;
· Fins acadêmicos;
· Para o uso do governo, nas questões de segurança e persecução penal.
O seu artigo 3º trata da abrangência da incidência da Lei na qual descreve que são protegidos os dados coletados e tratados no brasil, confirmando autonomia territorial.
Os dados coletados fora do brasil não terão abrangência desta lei. A extraterritorialidade e a ausência fronteiriça da internet colocam em dúvida acerca de dados em sistemas de nuvens tratados por outros países, que pode deixar dúvidas acerca de sua aplicabilidade.
O artigo 5º da Lei traz os conceitos dos termos usados, assim, descrevem os pontos principais, no qual daremos maior ênfase:
· I – Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável; – (entendemos que são basicamente os documentos de praxe fornecidos pelo próprio governo, tais como: CPF, RG, comprovante de residência, título de eleitor, placa de carro, já apelidos, IP, registros eletrônicos fornecidos pelo envio e sem tratamento não se enquadram na proteção pela falta de certeza da identificação, entre outros).
Traz também que são dados sensíveis:
II – Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dados considerados anônimos ou pseudodados, que permitam a dissociação do titular.
· III – Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Tratam-se de dados que não se vincula diretamente a uma pessoa, pois a forma de sua formação não identifica da pessoa.
E uma das principais conceitualização legal consiste no Banco de Dados:
· IV – Banco de Dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; – ou seja, é uma tabela ou arquivo com informações pessoais.
Traz uma definição em seu inciso VII e VIII sobre o CONTROLADOR e do OPERADOR, respectivamente, que são os responsáveis por recepcionar os dados e de dar o tratamento aos dados tutelados. E também o ENCARREGADO que atua como intermediário entre o controlador e os titulares, consumidores, e a autoridade nacional, também chamado de data protection Office (DPO)
No inciso X traz a, também, importante definição do que consiste no tratamento de dados:
· X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
O artigo 6º trata dos princípios da Lei, que como nos referimos há critérios estritamente voltados ao direito e não a tecnologia, assim, dentro do que reputamos mais importantes são os incisos VII e VIII referentes à segurança e à prevenção, que para nosso estudo são os pilares da lei.
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; (Não se trata da conscientização e risco no fornecimento de dados).
Assim, para se obter o tratamento de dados são apresentados no artigo 7º os requisitos entre os mais importantes indicamos os seguintes:
· I – mediante o fornecimento de CONSENTIMENTO pelo titular;
· II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
· III – pela ADMINISTRAÇÃO pública, para o tratamento e uso COMPARTILHADO de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
· VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 ( Lei de Arbitragem);
· X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Verificamos, assim, que o MERO CONSENTIMENTO é o critério mais importante no tratamento de dados, que autoriza o manuseio pelo responsável, controlador e operador.
A, Lei, artigo 9º, faz a ressalva de que o consentimento será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. O que pela nossa observação existe notória ausência de todos esses requisitos nas exigências de consentimento.
A Lei ao abordar outro ponto, deixa de tratar de forma efetiva o ciclo de dado, que reputamos de igual relevância que aborda sobre o término do tratamento de dados.
Contudo, não apresenta a mesma ênfase na eliminação, a forma adequada de eliminação, da irresponsabilidade incorreta de eliminação, do comunicado e consentimento na eliminação dos dados.
Essa questão é abordada sucintamente em seus artigos 15 e 16, e basicamente quando já atendidas as finalidades, com a revogação do consentimento entre outras hipóteses.
A questão que se impõe é a forma de eliminação e a exclusão completa e irrestrita dos dados não é abordada de forma satisfatória, mediante a criação ou estipulação de departamento ou responsável técnico pela eliminação completa dos dados, já que uma vez veiculadas de forma irregular pela rede mundial de computadores isso se torna incontrolável e sem possibilidade de exclusão e eliminação.
O § 6º preceitua ainda que a comunicação da dispensa dos dados poderá ser dispensada se comprovadamente impossível ou implique esforço desproporcional.
Já no artigo 31 da lei trata de forma sucinta sobre a responsabilidade em decorrência da violação ao tratamento de dados, solicitando apenas as medidas adotadas para a reparação e o relatório de impacto à proteção dos dados pessoais.
4. DAS TRANSAÇÕES INTERNACIONAIS E DA TRANSFERÊNCIA DE DADOS.
Outro ponto importante consiste na transferência internacional de dados, em que a lei dispõe que somente será permitida se observados os termos e princípios de proteção desta Lei.
Sabemos que a LGPD se inspirou em regulação da União Europeia denominada Regulamento Geral de Proteção de dados pessoais n. 679 – (GDPR) na qual passou a exigir a mesma proteção de dados de outros países para a pactuação de relações comerciais.
Porém, a Lei retrata uma expectativa distante da realidade, já que as fronteiras entre países restaram superar com a internet, e que com o simples consentimento em termos confusos, já se garante essa transferência sem a observância do cumprimento dos termos desta Lei seja normalmente realizada.
A transferência internacional se tornou um procedimento banal, o compartilhamento de dados é uma realidade inevitável e a simplicidade dos mecanismos desta lei não são capazes de combater ou controlar eventuais violações.
O que nos leva a acreditar a regulação envolvendo o âmbito internacional tratou-se de uma imposição internacional em especial da União Europeia para manter a viabilidade nas transações comerciais, sem embargos.
Entretanto, mesmo antes do surgimento das regulações já ocorrem transferências de dados, considerando-se muitos aplicativos e plataformas são de natureza internacionais, como: facebook, WhatsApp, Instagram, tiktok, youtube entre outros como: aliexpress e alibaba.
Portanto, a nosso entender a transferência de dados internacionais, neste momento é decorativa e sem qualquer efetividade, igualmente os regulamentos da União Europeia.
5. DOS RESSARCIMENTOS DE DANOS.
O artigo 42 ao 45 trata da reparação de danos e ressarcimento pela violação dos danos causados ao titular. Até aqui não há novidades e inovação jurídica, já que a deficiência da prestação de serviços sempre foi motivo de indenização.
6. DA SEGURANÇA E BOAS PRÁTICAS.
Em seus artigos 46 ao 49 obriga de forma importante que os dados prestados sejam protegidos e que sejam resguardadas medidas de segurança para evitar acesso não autorizado, e serão objetos de melhor regulamentação pela Autarquia regulamentadora, por meio de códigos de conduta e comportamentos.
A expectativa, mais uma vez, da Lei é boa, mas a realidade vem se mostrando cada vez mais complexa a referida proteção de dados e ao acesso não autorizado, como será demonstrado.
Isso porque, obriga que empresas de menor porte sejam compelidas a manter equipe de profissionais na área da segurança da informação. Além disso, com o avanço tecnológico nem mesmo as empresas de grande porte tem tido sucesso na preservação dos dados, o que demonstra rotineiramente vazamentos e alterações dos dados.
O que nos resta saber é como a Lei irá assegurar a proteção pretendida e a sofisticação de ataques e desorientação de usuários, sem com isso elevar gastos a ponto de aumentar demasiadamente o custo brasil e gerar ainda mais impostos e encargos a sociedade e para os pequenos empreendedores e surgimento de startups.
Contudo, das boas práticas de segurança, talvez seja a melhor parte da Lei, porém, foi tratada em apenas 1 artigo o 50, caput, em que menciona superficialmente como prática de ações GOVERNAMENTAIS EDUCATIVA.
A presente Lei deveria a nosso modesto entender ser baseada integralmente na conscientização dos riscos do uso da internet, no fornecimento seguro de informações, e educação para evitar práticas maliciosas e que comprometa o uso regular do aparato tecnológico moderno. E mais ainda que a segurança na internet é questão complexa e temos que ter a consciência de que não há anonimato na internet.
7. DAS PREVISÕES DAS SANÇÕES PELO DESCUMPRIMENTO LEGAL.
E já chegando ao final da análise temos a parte igualmente relevante sobre AS SANÇÕES ADMINISTRATIVAS para quem descumprir a previsão desta norma. Por essa razão, a fim de evitar sanções, as empresas e o poder público devem estruturar de forma adequada o banco de dados e segurar nos termos principiológicos da regulação.
Conduto, prevê que antes de qualquer aplicação punitiva deve ser assegurado o exercício da ampla defesa e do contraditório. Além disso, nos artigos 52 § 1º estão elencadas condutas que podem atenuar as penalidades, entre elas a boa-fé, condições econômicas, dano causado e cooperação, entre outras.
As penalidades estão elencadas no rol do artigo 52, incisos I a VII que podem variar de uma mera advertência ao pagamento de 50 milhões de reais por infração.
Porém, na vigência desta Lei ocorreu o vazamento de cerca de 2,4 milhões de pessoas dos bancos de dados do governo, especificamente, do SUS em 10/12/2021, e do TSE na vigência desta Lei e nenhuma medida administrativa aparentemente foram aplicadas no rigor desta Lei.
O que nos leva a refletir sobre quem recairá as penalidades administrativas rigorosamente impostas.
8. REQUISITOS BUROCRÁTICOS PARA SE ADEQUAR À LGPD.
Para se adequar à Lei foi concedido o período de 24 meses, vacation legis, sendo prorrogado pela pandemia, assim, a partir de 1ª de agosto de 2021 entrou em vigência a possibilidade de aplicação das sanções previstas na Lei.
De forma resumida para atender os preceitos da lei são necessários:
· Atualização de políticas de privacidade, incluindo expressamente o tratamento de dados e o expresso consentimento;
· Atualização de cláusulas contratuais, abordando o tratamento de dados e a privacidade devida;
· Clausulas contratuais com prestadores de serviços de soluções de informação, nuvem, monitoramento, e-mail, marketing, credit score, big data, mídia sociais;
· Mapeamento do fluxo de dados para gestão de TI e dos controles de consentimento, incluindo o ciclo de vida do dado;
· Cláusulas de prevenção a aplicação de multas e fiscalização de dados;
· Checklist de compliance para o uso da área de compras para novos fornecedores e parceiros, que precisarão estar em conformidade com as novas regulamentações de proteção de dados pessoais;
· Gestão e guarda de trilha de auditoria de logs de consentimento.
Documento necessários que precisam fazer parte do acervo de requisitos da lei:
· Mapa de fluxo de dados pessoais (personal data flow map);
· Tabela de temporalidade de guarda de logs de consentimento;
· Política de gestão de dados pessoais;
· Política de tratamento de dados pessoais para terceirizados;
· Termo de uso e política de privacidade;
· Contrato atualizado com clausulas prevista na LGPD;
· Código de conduta com previsão de tratamento de dados;
· Política de segurança da informação.
Em especial será necessária a documentação específica trazida pela LGPD denominada de Relatório de impacto à Proteção de Dados (RIPD ou DPIA), artigo 5º XVII.
Desse modo, verifica-se a tendencia ao surgimento de nova área de atuação no mercado de trabalho, com independência e autonomia, pela especificidade da documentação exigida e da adequação capacitada.
9. DA CRIAÇÃO DE AGÊNCIAS REGULADORAS DO USO DA INTERNET.
Por fim, a Lei criou o e inovou de forma mais preocupante as denominadas AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE em seus artigos 55-A até o artigo 59, atualmente, são entidade vinculadas à presidência da república, com a autonomia funcional, composição de quadro de funcionário próprios e que serão transformadas em mais uma agência autárquica reguladora, dessa vez da internet e seu uso.
Cuidarão de fazer cumprir a presente legislação e elaborar diretrizes de proteção de dados, Códigos de comportamento, orientação, fiscalização e punição entre outras atribuições inerentes.
A ANPD atualmente já está em funcionamento, ainda de forma estrutural, mas já dispõe de site próprio e com programas de governança e políticas a serem adotadas.
A tendência irreversível é que se torne uma potência regulatória da estatura de ANVISA, ANS, ANEEL, ANP e outras. Já existem cerca de 150 Data protetion authorities (DPAs) pela União Européia.
Com isso, já surgiu na Europa a Proposta Diretiva sobre Direito Autoral 2016/0280 (COD), e veio com a polêmica do artigo 13, que prevê o filtro de Upload, em que prevê uma análise prévia dos conteúdos postados o que foi largamente criticado.
Porém, é importante destacar que a histeria pelo controle de informações em website é desproporcional, e não merece tanta preocupação como se deseja alarmar.
O que deve ocorrer é conscientização de que há registros e históricos de navegação, para que as pessoas saibam o que estão fazendo na internet e se conscientizar do bom uso. A CONSCIENTIZAÇÃO É A MELHOR FORMA DE PREVENÇÃO E NÃO A REGULAÇÃO EXCESSIVA COMO SE PRETENDE ADOTAR.
Perceberemos, assim, ao longo do tempo se será um órgão de regulação excessiva e até instrumento de eventual censura da internet ou uma espécie de procon digital que atue nas relações comerciais fraudulentas e prejudiciais. Mas certamente ainda ganhará a musculatura devida e um papel promissor e de protagonismo nas relações comerciais digitais.
Portanto, as empresas privadas e entidade públicas precisam se adequar a essa nova realidade e desafios negociais, para não serem responsabilizadas por esse novo risco que para muitos será invisível e despercebido, mas de potencial lesividade.
10. DA CONCLUSÃO.
Pelo exposto acreditamos que apesar da importância da preservação da privacidade, intimidade de dados e seu tratamento, o excesso regulatório pode acabar por inibir a inovação tecnológica e a assunção de riscos, além de aumentar os custos operacionais de empresas privadas e para o poder público custeado pela sociedade já sobrecarregada.
A histeria na proteção de dados não é justificada, mas o que deve ser aplicado de forma segura é a conscientização popular de que a privacidade na internet de dados pessoais é matéria de extrema complexidade e com a maior chance do fracasso regulatório, e que possivelmente seus dados já estão expostos na rede mundial de computadores.
Portanto, concluímos que somente o esclarecimento que a privacidade na internet é improvável, e que o bom uso, e responsabilidade individual devem ser observadas, em contrapartida as empresas devem se limitar a menores exigência de informações cadastrais, a fim de desburocratizar as transações comerciais. E, por fim, que a tecnologia se encarregará de criar mecanismos para a própria segurança, a fim de se manter confiável e uma potência comercial que já se tornou.
Fonte: JusBrasil.