A LGPD (13.709/18) e o sistema de proteção de dados pessoais do Brasil

Com a entrada em vigor da lei 13.709/18, Lei Geral de Proteção de Dados Pessoais (LGPD), espera-se que a inovação normativa inaugure uma nova cultura de proteção de dados no país. Muito embora esta tutela não seja propriamente uma novidade, o que torna a nova lei de dados tão relevante e especial frente às demais? Conforme se busca demonstrar, diversos são os instrumentos normativos existentes no ordenamento que tutelam a privacidade, assim como a proteção de dados pessoais. No entanto, tais legislações possuem uma abrangência limitada a seus assuntos temáticos, diferentemente do que o ocorre com a LGPD.

No intuito de dispor sobre o tratamento e as operações realizadas com dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, a LGPD apresenta-se como a principal norma de proteção dos direitos fundamentais de liberdade e de privacidade e do livre desenvolvimento da personalidade da pessoa natural (art. 1º) de nosso ordenamento jurídico. As disposições legais trazidas pela norma, em razão de serem assunto afeto ao interesse nacional, possuem aplicação a todos os entes federados (parágrafo único do art. 1º). É de se destacar que, por mais inovadora que seja tal regulamentação no país, a defesa de valores como a intimidade, a privacidade, a inviolabilidade das comunicações e até mesmo a proteção de dados pessoais já possuíam relativa guarida no âmbito constitucional, bem como infraconstitucional.

Entre as disposições originárias da carta magna encontra-se a tutela dos direitos da personalidade por meio da defesa da privacidade (art. 5º, X). A consubstanciação desse valor materializa-se no direito à intimidade, à honra e à imagem das pessoas. No inciso XII, do mesmo artigo, protege-se o sigilo das correspondências e das comunicações telegráficas, de dados e das comunicações telefônicas, excetuando-se as hipóteses decorrentes de ordem judicial para fins de investigação criminal ou instrução processual penal. Nesse mesmo sentido, em seu inciso LXXII, alíneas "a" e "b", o remédio constitucional do habeas data surge com o fito de assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público, ou para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo.

No âmbito infraconstitucional, tem-se no Código Civil (lei 10.406/02) a respeitabilidade aos atributos da personalidade humana, tais como a honra e a boa fama (art. 20) e a inviolabilidade da vida privada (art. 21). Uma vez deflagradas desproporções e violações, nesse contexto emerge o direito à indenização, bem como a adoção de medidas aptas a impedir ou fazer cessar ato de lesão à privacidade.

Com relação aos bancos de dados relativos a consumidores, existentes em cadastros, fichas e registros, o Código de Defesa do Consumidor (lei 8.078/90) traz em seu art. 43 que o consumidor terá acesso a tais informações, bem como as suas respectivas fontes. O dispositivo também traz a exigência de que os cadastros e dados de consumidores devam ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão (art. 43, § 1º), além de impor a necessidade de comunicação por escrito ao consumidor, quando a abertura dessas bases de dados não for solicitada por ele (art. 43, § 2º).

A Lei de Interceptação Telefônica (lei 9.296/96), ao tratar sobre a interceptação do fluxo de comunicações em sistemas de informática e telemática e regulamentar o inciso XII, parte final, do art. 5° da CF, dispõe que o pedido de interceptação de comunicação telefônica conterá a demonstração de que a sua realização é necessária à apuração de infração penal, com indicação dos meios a serem empregados (art. 4°) além de estar condicionada à ordem judicial (art. 1º).

No que tange à organização dos serviços de telecomunicações, a Lei Geral de Telecomunicações (lei 9.472/97) elenca, em seu art. 3º, inciso IX, que um dos direitos dos usuários dos serviços de telecomunicações consiste no respeito a sua privacidade nos documentos de cobrança e na utilização de seus dados pessoais pela prestadora do serviço.

A Lei do Habeas Data (lei 9.507/97) possui importante papel na regulação dos direitos de acesso, retificação e complementação dos registros dos bancos de dados de caráter público, além de dispor sobre o rito processual do remédio jurídico-processual.

Sobre a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito, a Lei do Cadastro Positivo (lei 12.414/11), logo em suas disposições iniciais, estabelece que somente poderão ser armazenadas informações objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para avaliar a situação econômica do cadastrado (art. 3º, § 1º). A norma também traz importantes vedações no que diz respeito a informações excessivas e sensíveis (art. 3º, § 3º), além de estabelecer como principais direitos do cadastrado um acesso gratuito às informações e que seus dados pessoais sejam utilizados somente de acordo com a finalidade para a qual eles foram coletados (art. 5º e incisos). A licitude do escore de crédito já foi reconhecida pelo próprio STJ, desde que "respeitados os limites estabelecidos pelo sistema de proteção do consumidor no sentido da tutela da privacidade e da máxima transparência nas relações negociais, conforme previsão do CDC e da lei 12.414/11"¹.

Com relação à Lei de Acesso à Informação (lei 12.527/11), a sua mens legis concerne na regulação das disposições constitucionais previstas no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216. Trazendo importantes definições no que diz respeito à informação pessoal, como sendo aquela relacionada à pessoa natural identificada ou identificável (art. 4º, IV) e informação sigilosa, aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado (art. 4º, III). A lei aperfeiçoa a noção de cidadania no âmbito da privacidade e proteção de dados. Nesse sentido, em seu capítulo IV, dispõe que o tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, à vida privada, à honra e à imagem das pessoas, bem como às liberdades e garantias individuais (art. 31). No inciso I, do § 1º de seu art. 31, a norma designa um prazo máximo de 100 anos para o acesso às informações previstas no caput. Ao versar sobre a classificação do sigilo de informações, a norma preceitua que esta ocorrerá por meio das seguintes gradações: (I) ultrassecreto, (II) secreto e (III) reservado (art. 27 e incisos).

Além das leis apresentadas, o Marco Civil da Internet efetivou o fortalecimento do sistema de proteção de dados pessoais do país por meio de disposições que visam o desenvolvimento dos direitos humanos, da personalidade e do exercício da cidadania em meios digitais (art. 2º, II). A legislação federal, pautada nos pilares da privacidade (art. 3º, II), liberdade de expressão (art. 3º, I) e neutralidade da rede (art. 3º, IV)², estabeleceu garantias, direitos e deveres para o uso da Internet no país por meio do reconhecimento de princípios como a própria proteção dos dados pessoais (art. 3º, III). Em seu capítulo destinado aos direitos e garantias dos usuários, a norma preceitua o acesso à internet como sendo de função essencial ao exercício da cidadania (art. 7º, caput) e, posteriormente, assegura a proteção da inviolabilidade da intimidade e da vida privada (art. 7º, I), da inviolabilidade e do sigilo do fluxo das comunicações pela internet (art. 7º, II) e das comunicações privadas armazenadas (art. 7º, III), ressalvadas as exceções legais.

Ademais, quanto ao sistema de proteção de dados pessoais que a LGPD passa a integrar, observa-se que não existe contradição ou conflito entre a LGPD e as legislações específicas. Pois, a lei 13.709/18 preceitua que os direitos e princípios expressos na norma não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte (art. 64). Corroborando o preceito legal, verifica-se que em capítulo atinente ao tratamento de dados pessoais pela Administração Pública, tem-se que os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes na Lei do Habeas Data, na Lei Geral do Processo Administrativo e na Lei de Acesso à Informação (art. 23, § 3º). No que tange às questões relacionadas à responsabilidade e ao ressarcimento de danos, nas hipóteses em que os direitos do titular forem violados no âmbito das relações consumeristas, aplicar-se-á o Código de Defesa do Consumidor (art. 45). Ao se analisar as práticas legais aptas a conferir segurança e o sigilo dos dados também é possível verificar o diálogo da norma com outras legislações, pois, segundo o art. 49, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender à LGPD, bem como às demais normas regulamentares.

É possível divisar, entretanto, que em busca por maior efetividade na tutela dos dados pessoais, a LGPD introduz transformações no sistema de proteção de dados pessoais a partir de novos fundamentos, princípios, direitos e deveres que passam a nortear todas as atividades e operações de tratamento de dados pessoais no país.

Nesse sentido, a normativa consolida aspectos fundamentais e principiológicos presentes de maneira esparsa no ordenamento que, de alguma maneira, também regulavam a proteção de dados pessoais. Os valores pautados na privacidade, autodeterminação, liberdade de expressão, desenvolvimento tecnológico, livre concorrência e preservação dos direitos humanos fundamentam a disciplina da proteção de dados no país (art. 2º e incisos).

Adicionalmente, o tratamento dos dados como principal atividade objeto de regulamentação da LGPD apenas se mostra legítimo desde que em consonância com princípios que confluem na higidez da operação. A necessidade de observância quanto aos onze princípios norteadores das operações e atividades de tratamento, tais como, boa-fé; finalidade; adequação; necessidade; livre acesso; qualidade; transparência; segurança; prevenção; não discriminação; e responsabilização e prestação de contas (art. 6º, caput e incisos), indica as novas obrigações e deveres que passam a estar intrinsecamente ligados ao tratamento de dados pessoais em território nacional.

Em capítulo destinado aos direitos do titular (Capítulo III), a norma assegura a titularidade de dados pessoais à pessoa natural como decorrente lógico de um texto legal que visa garantir direitos fundamentais de liberdade, de intimidade e de privacidade (art. 17) no intuito de efetivar o livre desenvolvimento da personalidade e o exercício da cidadania (art. 2º, VII). Tal titularidade de direitos não se restringe à esfera individual, possuindo efeitos nas atividades de tratamento e nas obrigações legais dos agentes de tratamento que passam a estar diretamente ligadas ao direito de acesso e informação por parte do titular (art. 18).

Como ponto de destaque, com relação ao direito de revisão do titular, no âmbito de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais aptas a afetar os interesses do titular, o art. 20 autoriza o direito de solicitar o reexame da matéria. Para alguns autores, o artigo inaugura um microssistema de inteligência artificial³, cuja redação de seu § 1º é capaz de criar uma encruzilhada de interesses, pois "lesa de morte a inovação ou é ineficaz vis-à-vis a proteção do segredo industrial e comercial das modelagens computacionais"⁴.

Nesse sentido, resta demonstrado que, muito embora a proteção dos dados pessoais não seja uma novidade em termos de regulamentação jurídica, a LGPD traduz-se em um marco ao criar uma sistemática própria de um atributo humano, que sempre foi positivado, mas de forma esparsa e ainda ligada a um ramo específico do direito. Concebe-se, portanto, uma nova era na proteção e promoção de um atributo inerente à condição humana, ao mesmo tempo em que reforça-se a unicidade do ordenamento jurídico, pois "quanto mais o dado normativo souber se adequar à realidade social, tanto mais a realidade se apresentará de forma homogênea e unitária"⁵.

_________

1 STJ. 2ª Seção. REsp 1.419.697/RS, rel. min. Paulo de Tarso Sanseverino, julgado em 12/11/14 (recurso repetitivo) (Info 551).

_________

*Pedro Gueiros é advogado na área de Proteção de Dados e Governança do Lima = Feigelson Advogados.

*Pedro Dalese é bacharel em Direito pela Universidade Federal Fluminense. Advogado do escritório Luciano Tolla Advogados. Especializado em Direito Digital e Proteção de Dados.