sábado, 24 de outubro de 2020

MIGALHAS DE PESO

Publicidade

Os reflexos criminais da Lei Geral de Proteção de Dados

Patrícia Arantes de Paiva Medeiros e Viviane de Araújo Porto

A lei 13.709/18 é capaz de gerar responsabilidade penal? E, além disso, quais seriam os agentes vinculados à responsabilização? A análise da origem da Lei Geral de Proteção de Dados brasileira, sob o aspecto sancionatório.

terça-feira, 11 de agosto de 2020

t

O conceito de "proteção de dados" ingressou no sistema jurídico internacional com a Convenção 108 - do Conselho da Europa - em 1981, como uma demanda necessária diante do início da automatização, em grande escala, do tratamento de dados adotado mundialmente.

Inicialmente, a União Europeia editou a Diretiva 95/46, que estabelecia regras para o tratamento de dados pessoais, cujo teor indicava que cada país membro deveria regulamentar o tema - ou seja, criar a lei nacional específica para a incorporação do conteúdo normativo de forma equânime.

Em âmbito mundial, os anos de 2013 e 2014 foram decisivos à normatização da proteção de dados, quando os escândalos internacionais chacoalharam os noticiários: a espionagem na National Security Agency (NSA) - Agência Nacional de Segurança dos Estados Unidos; e, ainda, o compartilhamento de dados e o direcionamento de notícias, tanto da Cambridge Analytica, quanto do Facebook.

Alguns anos após, em 2016, a União Europeia decidiu editar o Regulamento 2016/679 - General Data Protetion Regulation (GDPR), em português Regulamento Geral de Proteção de Dados (RGPD).

Inicialmente, cumpre salientar que a legislação europeia caracteriza-se por ser uma legislação transnacional, isto é: há dispensa de criação de leis nacionais para a regulamentação do tratamento e da proteção de dados pessoais em seus países-membros.

Após a tramitação de vários e extensos projetos de lei sobre o tema, é inegável que os escândalos internacionais e a vigência da lei europeia geraram o senso de urgência nos parlamentares brasileiros para a regulamentação da utilização e tratamento de dados no Brasil.

Assim, o Congresso Nacional aprovou o projeto de lei complementar 53/18 - que, em seu teor, possui grandes similitudes ao GDPR -, culminando na promulgação da lei 13.709/18, a Lei Geral de Proteção de Dados (LGPD).

A LGPD, portanto, dispõe sobre o tratamento de dados pessoais, objetivando a proteção dos direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural.

Percebe-se, pois, que a política legislativa adotada é a concretização de política de dados responsável e pautada no reconhecimento dos direitos individuais como base intrinsecamente vinculada ao tema.

Desse modo, em seu artigo 7°, a legislação elenca que, os dados - interpretados como a personalização e individualização do usuário - somente podem ser tratados, informados e repassados a outrem em duas situações: a primeira, de autorização expressa e personalíssima de seu titular - que, na prática, vincula-se ao termo de consentimento (inciso I) -; e, a segunda, em decorrência de uma das hipóteses de tratamento de dados estipuladas nos incisos II a X.

Aqui, insta ressaltar que, independentemente do enquadramento fático e jurídico do tratamento de dados, todas as possibilidades possuem idêntica valoração, e, principalmente, similares responsabilidades e obrigações pela LGPD.

Percebe-se, pois, que, a política legislativa adotada é de consideração de tais elementos como direitos que somente podem ser tratados, informados e repassados a outrem por meio de autorização expressa e personalíssima de seu titular - ou seja, de termo de consentimento expresso -, ou em decorrência de uma das demais hipóteses de tratamento estipulada na lei, não havendo distinção de importância entre elas.

Conceitualmente, a nomenclatura "dado pessoal" vincula-se a todo e qualquer dado que possa identificar um indivíduo frente à coletividade; assim, são dados pessoais os nomes próprios; os números de documentos pessoais, como CPF, Registro Geral e Carteira Nacional de Habilitação; os endereços comerciais e residenciais; os registros fotográficos; os endereços de IP de conexão; os caracteres de placas de veículos, dentre outros.

Importante salientar que a referida norma atua como parceira às boas práticas de integridade e sigilo empresariais, posto que estabelece critérios - ou seja, hipóteses de tratamento -  para que os dados pessoais sejam devidamente protegidos e, possivelmente, analisados para interesses de mercado.

Ademais, os dados podem ser divididos entre dados pessoais e dados sensíveis, cuja diferenciação reflete nas possibilidades de tratamento e manipulação pelos agentes envolvidos. Percebe-se, então, que o tratamento de dados pessoais, bem como de dados sensíveis, pode ser feito desde que a finalidade do tratamento seja enquadrada em uma das hipóteses dispostas nos incisos dos artigos 7º e 11º da referida lei.

Ressalta-se, ainda, que as medidas normatizadas pela LGPD trazem segurança jurídica para a manipulação de dados, culminando na ausência de violações a bancos de dados empresariais; e, caso a invasão ocorra, a responsabilização efetiva dos responsáveis.

Todavia, apesar de já promulgada, ainda não se encontra em vigência no arcabouço jurídico pátrio por imbróglios legislativos. Nesse aspecto, o termo inicial de vigência da legislação dividiu-se entre as normas gerais e as normas sancionatórias.

Inicialmente, quanto às normas sancionatórias, não há discussão: dispostas no caput do artigo 52, a lei 10.040/20 - originada do projeto de lei 1.179/20 -, garantiu prazo mais extenso para adaptação do sistema de proteção e tratamento de dados do empresariado brasileiro.

Já quanto às demais diretrizes e normas da LGPD, cumpre salientar que o presidente da República editou a medida provisória 959/20, cujo teor adia o marco inicial de vigência da lei em âmbito nacional.

Diante do atual cenário, o início da vigência da LGPD ocorrerá em 3/5/21. Entretanto, a MP 959/20 aguarda votação no Congresso Nacional.

Assim, três perspectivas são plausíveis: a primeira, de ratificação do texto da medida provisória, a partir da promulgação de lei específica de confirmação das referidas datas; e, a segunda a ausência de votação do texto; ou, ainda, a elaboração e promulgação de lei específica com datas distintas.  

Por óbvio, a situação mais temida e preocupante às empresas identifica-se na ausência de votação do texto, que culminaria na vigência da LGPD em 16/8/20.

Todavia, apesar da incerteza quanto à data inicial de vigência, o ambiente jurídico-empresarial deve se preparar, o quanto antes, para as adaptações quanto ao sistema de tratamento e manipulação de dados de acordo com as políticas de zelo à intimidade e à privacidade individuais.

Especificamente quanto às sanções administrativas, em consonância ao modelo europeu, a LGPD elenca, em seus artigos 52 a 54, as sanções administrativas cabíveis àquelas pessoas físicas e jurídicas que estejam em desacordo com seus preceitos, cuja aplicação se concretizará por meio das decisões da Autoridade Nacional de Proteção de Dados - órgão federal vinculado ao Poder Executivo Federal.

Percebe-se, portanto, que, em caso de condenação administrativa, as sanções poderão variar entre a imposição de advertência, de multa simples ou multa diária e, ainda, a suspensão e a proibição do tratamento de dados pelos infratores - de acordo com os incisos I a XII, do artigo 52.

Nesse sentido, mister se faz a identificação dos sujeitos diretamente envolvidos com o tratamento de dados para a análise das condutas infracionais possivelmente cometidas individualmente.

Em seu teor, a LGPD prevê a existência de quatro sujeitos distintos e diretamente vinculados aos dados pessoais:

a)  Titular: Pessoa física que forneceu, expressamente, os dados a determinada empresa; 

b)  Controlador: Pessoa, física ou jurídica, de direito público ou privado, que detém o poder de decidir sobre como os dados pessoais serão tratados e para quais finalidades eles serão direcionados no processo interno da empresa;

c)   Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados de acordo com as orientações dadas pelo controlador - ou seja, o operador atua ela opera o tratamento dos dados.

d)  Encarregado: Pessoa física indicada pelo controlador e pelo operador para atuar como elo entre o titular dos dados e a Autoridade Nacional de Proteção de Dados;

Salienta-se, ainda, que, a LGPD prevê somente condutas sancionatórias em âmbito administrativo.

Contudo, a natureza jurídica intrínseca aos dados pessoais poderá gerar a incidência de condutas criminais por seus manipuladores - ou seja, pelo operador e também pelo controlador de dados. Como exemplos de condutas criminosas, podemos citar o artigo 307 do Código Penal (falsa identidade) e o artigo 21 da lei 7.429/86 (falsa identidade para realização de operação de câmbio). Especificamente quanto aos servidores públicos, ressalta-se a possibilidade de incidência do artigo 313-B (modificação ou alteração não autorizada de sistema de informações), contudo esse assunto será tratado em artigo próprio.

Diante da união entre LGPD e o cometimento de condutas criminosas, uma questão basilar deve ser respondida: como serão tratadas as situações que envolvam acessos, tratamentos e manipulações indevidas de dados pessoais?

Inicialmente, deve-se identificar os sujeitos envolvidos na infração penal entre agente interno e agente externo. Como agente interno, percebem-se aqueles que possuem o acesso aos dados por serem controladores, operadores ou encarregados; já por agente externo, percebe-se a atuação de sujeito estranho à relação de tratamento de dados - como, por exemplo, os hackers. Aqui, ater-se-á a discussão quanto aos sujeitos internos, posto que a atuação dos hackers será tratada, exclusivamente, pela legislação penal pátria.

Por conseguinte, ressalta-se que a LGPD atuará, exclusivamente, em ilícitos administrativos, punindo-os com as sanções supramencionadas. Isto é: a responsabilização administrativa vincular-se-á a responsabilidade objetiva da prática da conduta, em consonância às normas de Direito Público vigentes.

Contudo, caso seja identificada alguma conduta criminosa na atuação de tais agentes, caberá ao Direito Penal a análise acerca da responsabilização subjetiva do agente criminoso.

Portanto, salienta-se que os reflexos penais inerentes à LGPD vinculam-se às condutas possivelmente praticadas pelos agentes internos à manipulação e ao tratamento de dados pessoais e à existência de condutas previamente tipificadas no arcabouço jurídico-penal brasileiro.

_________

t*Patrícia Arantes de Paiva Medeiros é advogada. LLM em Direito Empresarial pela Fundação Getúlio Vargas (FGV). Pós-graduada em Direitos Fundamentais pela Universidade de Coimbra, em parceria com o IBCCRIM. Pós-graduanda em Direito Penal e Processo Penal pela Universidade Federal de Goiás (UFG).



t*Viviane de Araújo Porto é bacharel em direito pela Universidade Católica de Goiás. Pós-graduada em Direito Civil, Processual Civil e em Direito do Consumidor. Sócia do escritório Braga Fujioka Advogados.

t

Atualizado em: 11/8/2020 08:02

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca

AUTORES MIGALHAS

Carmen Tiburcio

Migalheira desde 2003

Rafael Balanin

Migalheiro desde 2003

Thainá Barbosa

Migalheira desde 2020

Fernanda Perregil

Migalheira desde 2018

Erik Franklin Bezerra

Migalheiro desde 2006

Renato Aparecido Gomes

Migalheiro desde 2020

Ingo Wolfgang Sarlet

Migalheiro desde 2005

Ricardo Calcini

Migalheiro desde 2013

Alexandre Motta

Migalheiro desde 2008

Publicidade