Introdução à Lei Geral da Proteção de Dados no Brasil
Introdução
Considerando que nossos dispositivos estão nos ouvindo e rastreando o tempo todo e tudo que estamos fazendo, como podemos manter nossos dados pessoais seguros? Como podemos proteger os dados dos trabalhadores e dos consumidores? A proteção e os cuidados com os dados pessoais, tornou-se uma questão inadiável. A principal preocupação da legislação brasileira de proteção de dados, assim como a do regulamento europeu, é exatamente proteger os dados das pessoas naturais, com a devolução do controle dos dados pessoais para seus titulares. A autodeterminação informativa, conceito que surgiu na Alemanha, é fundamento da Lei Geral de Proteção de Dados e consiste em garantir o controle do cidadão sobre suas próprias informações.
A tecnologia vem avançando em ritmo cada vez mais acelerado, e estamos nos conectando de maneira cada vez mais digital. Algoritmos de inteligência artificial, que dependem de cálculo, estatística, probabilidade e programação, desempenham papéis dominantes e influentes em todos os aspectos de nossas vidas, incluindo relações familiares, de amizade, de consumo, de trabalho e com o Poder Público.
Sendo muito mais rápidas e eficazes do que os seres humanos na análise de grandes volumes de dados, essas máquinas são inclusive utilizadas em processos seletivos de algumas empresas. No entanto, ao se beneficiar dessas vantagens, também devemos cuidadosamente avaliar os riscos associados. Especialmente, é necessário garantir que estejam em conformidade com as normas de proteção de dados e a Constituição Federal. Um exemplo de possível risco é a presença de vieses discriminatórios em processos seletivos conduzidos por algoritmos. Tais sistemas, se não forem devidamente projetados e supervisionados, podem inadvertidamente perpetuar ou exacerbar as desigualdades existentes. Portanto, enquanto a inteligência artificial oferece oportunidades inigualáveis para melhorar a eficiência e eficácia de nossos sistemas, é fundamental que priorizemos a ética, a justiça e a conformidade com a lei em seu uso.
A LGPD tem como objetivo principal a proteção dos direitos fundamentais dos titulares de dados pessoais e sensíveis, garantindo-se o livre desenvolvimento da personalidade e a dignidade da pessoa humana e entrou em vigor em setembro de 2020, tendo sido promulgada em 2018. A vigência ocorreu de forma escalonada e as sanções da Autoridade Nacional de Proteção de Dados (ANPD) entraram em vigor em 1º de agosto de 2021, tendo sido adiadas pelo Projeto de Lei n. 1.179/2020, convertido na Lei n. 14.010/2020.
A Lei n. 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), e as alterações introduzidas pela Lei n. 13.853/2019, foram inspiradas nas normas de proteção de dados da União Europeia e do Conselho da Europa. Essa inspiração abrange uma série de normas e regulamentações, incluindo a Convenção 108 do Conselho da Europa, um marco pioneiro no que se refere à proteção de dados pessoais, e a Diretiva 95/46/EC da União Europeia, que estabeleceu a proteção de indivíduos com relação ao processamento de dados pessoais e a livre circulação desses dados. Ao mesmo tempo, a LGPD também foi influenciada, no decorrer do seu processo legislativo, pelo Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, que representa uma das legislações mais abrangentes e detalhadas em termos de proteção de dados na atualidade. Assim, a LGPD é fruto de uma evolução legislativa complexa, refletindo diferentes instrumentos normativos europeus que foram se aperfeiçoando ao longo do tempo.
As normas de proteção de dados do Brasil se inspiram nas da União Europeia, berço da privacidade e proteção de dados. O RGPD é um regulamento do direito europeu, que entrou em vigor no dia 25 de maio de 2018, sobre privacidade e proteção de dados pessoais e que é aplicável a todos os indivíduos da União Europeia e empresas que operem no Espaço Econômico Europeu, independente do país de origem, o qual revogou a Diretiva 95/46/CE. A Diretiva demandava que cada estado-membro aprovasse uma legislação interna adicional, já o regulamento é vinculativo e aplicável imediatamente a todos países da União Europeia, independentemente de adequação legislativa interna e garantindo o mesmo nível de proteção a todos países da União Europeia. A Diretiva havia sido escrita na fase inicial da internet, quando não eram conhecidos conceitos como internet das coisas, conectando o mundo físico ao digital por meio de objetos, big data, nuvem, inteligência artificial, machine learning e deep learning, não obstante esta já trouxesse conceitos importantes, bases legais de tratamento, diferença de dados pessoais e sensíveis, entre outros institutos e é por essa razão que os estudos do Grupo de Trabalho do Artigo 29, por esta criada, são tão importantes.
Se retrocedermos na história, o direito à privacidade foi consagrado pela primeira vez num instrumento jurídico internacional no artigo 12º da Declaração Universal dos Direitos do Homem, 1948: “Ninguém será sujeito a interferências na sua vida privada, família, lar ou na sua correspondência, nem a ataque à sua honra e reputação. Toda Pessoa tem direito à proteção da lei contra tais interferências ou ataques”. A Declaração Universal dos Direitos do Homem influenciou a formulação de outros instrumentos sobre direitos humanos na Europa.
No final da II Guerra Mundial foi criado o Conselho da Europa, o qual reúne Estados da Europa com o objetivo de promover o Estado de direito, a democracia, os direitos humanos e o desenvolvimento social e que adotou a Convenção Europeia dos Direitos do Homem no ano de 1950 e que entrou em vigor em 1953. Em 1959, foi criado na França o Tribunal Europeu dos Direitos do Homem para garantir que as partes contratantes cumpram as obrigações assumidas ao abrigo da Convenção Europeia de Direitos do Homem e o qual se pronunciou, por meio de sua jurisprudência, em várias situações onde foi suscitada a proteção de dados.
O artigo 8º da Convenção Europeia de Direitos do Homem garante o direito ao respeito pela vida privada e familiar, pelo domicílio e pela correspondência, além de estabelecer as condições em que são permitidas restrições a este direito. O Comité de Ministros do Conselho da Europa logo adotou várias resoluções sobre a proteção de dados pessoais e que faziam referência ao artigo 8º da Convenção Europeia dos Direitos do Homem. Logo, foi aberta para assinatura a Convenção 108 de 1981, a Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal, no âmbito do Conselho da Europa e primeiro instrumento internacional juridicamente vinculativo, o qual regula expressamente a proteção de dados.
A LGPD tem por objetivo garantir a transparência em todas as operações realizadas com os dados da pessoa natural, como a coleta, processamento, arquivamento, armazenamento, eliminação e compartilhamento dos dados pessoais, além de resguardar os dados pessoais e sensíveis de seus titulares, ou pessoas naturais, tanto nos meios digitais, como nos físicos, devendo ser observada tanto pelas pessoas jurídicas de direito privado, quanto pelas de direito público.
Os avanços tecnológicos dos últimos anos, com as novas tecnologias da informação, vieram para alterar de forma permanente o mundo que nos rodeia e trouxeram a necessidade de uma legislação sólida de proteção dos dados das pessoas naturais, que buscasse o equilíbrio entre a garantia das liberdades e direitos individuais e que se traduz na reserva da intimidade da vida privada e a liberdade de circulação da informação pessoal:“A rapidez dos avanços tecnológicos e da globalização vieram para alterar de forma indelével o mundo que nos rodeia e são assim novos e imensos os desfechos para a proteção de dados. Os regimes de proteção de dados buscam o necessário equilíbrio entre dois princípios: por um lado, a garantia das liberdades e direitos individuais e, por outro lado, a liberdade de utilização e circulação da informação pessoal. (...) A verdade é que nos tornamos dependentes das comunicações móveis, do acesso instantâneo à informação e serviços inteligentes. Apesar de todos os benefícios dessas tecnologias, persistem dúvidas e preocupações sobre o quanto de informação pessoal é coligada, armazenada, utilizada e compartilhada para o fornecimento desses serviços persuasivos e convenientes.”O Regulamento Geral de Proteção de Dados da União Europeia destaca, já no Considerando 1, que a proteção relacionada ao tratamento de dados pessoais das pessoas naturais é um direito fundamental previsto no artigo 8º, número 1, da Carta dos Direitos Fundamentais da União Europeia e no artigo 16º, número 1, do Tratado sobre o Funcionamento da União Europeia:
“A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8º, n. 1, da Carta dos Direitos Fundamentais da União Europeia (“Carta”) e o artigo 16º, n. 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. O presente regulamento tem como objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares.”
No Brasil, a Proposta de Emenda à Constituição Federal de 1988, número 17/2019, foi recentemente aprovada no Senado e acrescentou o inciso XII-A ao artigo 5º, e o inciso XXX ao artigo 22 da Constituição Federal de 1988, para incluir a proteção de dados pessoais, físicos e digitais, entre os direitos e garantias fundamentais do cidadão no Brasil e fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
A Lei n. 13.709 de 14 de agosto de 2018 tem como fundamento a tutela aos direitos fundamentais de liberdade e de privacidade, ao livre desenvolvimento da personalidade da pessoa natural e aos direitos humanos:
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios. (Incluído pela Lei n. 13.853, de 2019; Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre-iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.”
O escopo da presente legislação brasileira de proteção de dados é a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, a qual é considerada vulnerável em relação aos agentes de tratamento, de forma a buscar-se um equilíbrio nas relações e aplicando-se a máxima da igualdade material, com base na justiça distributiva e compensatória.
Na era do Big Data e com um ambiente de globalização, o qual mitiga as fronteiras físicas, trazendo cada vez mais vantagens para o comércio eletrônico e com uma economia totalmente baseada na internet, cada vez mais dependente de dados, o escopo da proteção de dados pessoais é transformar o Big Data em Small Data, devendo-se limitar o tratamento dos dados ao mínimo necessário e com o escopo de ser atingida a finalidade pretendida. Esta legislação se aplica no tratamento de dados das pessoas naturais e não se aplica no tratamento de dados das pessoas jurídicas, mas todas as empresas tratam dados de pessoas naturais, ainda que de seus sócios e empregados.
A LGPD, como já exposto, destina-se às entidades, agentes de tratamento, as quais tratam dados pessoais e dados pessoais sensíveis das pessoas naturais, incluindo as relações de trabalho, as relações de consumo e outras que envolvam o tratamento de dados pessoais.
Esta lei não tratou de forma expressa, em seus dispositivos, as relações de trabalho, como o fez o Regulamento Geral de Proteção de Dados da União Europeia, mas também se aplica no tratamento de dados pessoais dos empregados e demais trabalhadores pelos empregadores, ou tomadores, os quais são os controladores desses dados e a quem cabe tomar as decisões necessárias sobre o tratamento. Quando falamos de implementação da Lei Geral de Proteção de Dados, esta não poderá ser fatiada, mas deverá abranger todos os departamentos, sem exceção, onde identificados os tratamentos de dados pessoais, desde o departamento de marketing, comercial, financeiro, ao de recursos humanos, ou já teremos um GAP muito grande na implementação.
Sempre que terceirizadas as atividades de tratamento, quando temos um operador, como é comum, por exemplo, com alguns softwares de IA e a gestão de folha de pagamento, a empresa responsável deverá incluir, de forma muito clara, as instruções sobre como deverão ser realizadas as atividades de tratamento e fazer uma due diligence naquela, principalmente em medidas de segurança da informação.
É importante elaborar uma política de segurança da informação, cláusulas em contrato, treinamentos e termos de confidencialidade (non-disclosure agreement – NDA) para empregados. Os NDAs também são importantes para terceiros.
A LGPD, assim como o RGPD, destina-se a proteger os dados pessoais e pessoais sensíveis de danos, no tratamento, não apenas nos meios digitais, mas também em contratos e outros documentos escritos por meios físicos. O artigo 5º destaca que o banco de dados consiste em um conjunto estruturado de dados em suporte eletrônico ou físico.
A Lei Geral de Proteção de Dados cria um marco legal para a proteção de informações pessoais e tem como escopo principal dar ao cidadão maior controle sobre o uso das suas informações pessoais, como já exposto anteriormente.
A legislação brasileira de proteção de dados não traz parâmetros mínimos para obrigatoriedade do registro de atividades de tratamento dos dados pessoais, estando todas as empresas que tratam dados pessoais, ou dados pessoais sensíveis, sujeitas aos registros previstos na legislação brasileira de proteção de dados, a Lei n. 13.709/2018. A ANPD poderá trazer parâmetros mínimos objetivos para o registro das atividades de tratamento de dados da pessoa natural.
O Considerando 13, do RGPD, traz uma derrogação para as organizações com menos de 250 trabalhadores, relativamente à conservação do registo de atividades. O regulamento europeu dispõe ainda, de forma expressa, no artigo 30, número 5, que a obrigação de registro não se aplica a empresas com menos de 250 pessoas, a menos que o tratamento seja suscetível de implicar risco para os direitos e liberdades do titular dos dados, não seja ocasional, ou abranja as categorias especiais de dados a que se refere o artigo 9º, número 1, ou dados pessoais relativos a condenações penais e infrações referidos no artigo 10º do regulamento europeu.
É indispensável a existência de medidas técnicas e administrativas aptas a proteger e resguardar os dados pessoais e os dados pessoais sensíveis, para a proteção de direitos fundamentais de liberdade e de privacidade, de cada usuário, para evitar-se acessos não autorizados e situações acidentais ou ilícitas. Os dados pessoais deverão ser apenas tratados por pessoas que necessitem dessas informações, na realização de suas tarefas, limitando-se o tratamento ao mínimo necessário para a realização de suas finalidades. A empresa deve utilizar softwares de segurança da informação, monitoramento, criptografia, entre outros. O uso da criptografia é um dos métodos mais eficientes para fornecer a segurança de dados, principalmente para a proteção realizada de ponta a ponta e transmitida entre as redes.
O RGPD trouxe o conceito do privacy by design e privacy by default, que foi abraçado por nossa legislação. O primeiro, privacidade desde a concepção, tem destaque na proteção do titular dos dados em toda arquitetura do negócio, em todos os projetos desenvolvidos e o segundo, ou privacidade por padrão, traz a ideia de que o direito e a tecnologia devem andar juntos, que um produto ou serviço seja lançado ao público com as mais seguras configurações de privacidade.
O responsável pelo tratamento de dados deverá adotar e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a concepção e por padrão.
No Brasil, o Marco Civil da Internet, o qual foi alterado pela Lei Geral de Proteção de Dados, já nos trazia disposições sobre a proteção de dados, assim como o Código de Defesa ao Consumidor (Lei n. 8078/90) e a Lei de Cadastro Positivo (Lei n. 12.414/2011).
Conheça a obra "Lei Geral da Proteção de Dados: Incluindo Modelos, Segurança da Informação e Fases de Implementação"
Esta obra abrange todos os aspectos da LGPD, com modelos, inclui um capítulo exclusivo sobre relações de trabalho e ganhou outro dedicado ao setor público, tornando-a ainda mais abrangente nesta edição. Aprenda como garantir a privacidade e a proteção dos dados pessoais em um mundo onde o compartilhamento desenfreado de informações é a norma.
Mais informações
• Sobre a obra
• Introdução
• Sumário
• Sobre a autora
• Folheie