O Regulamento Geral sobre Proteção de Dados ou GDPR (General Data Protection Regulation), consolidando normas anteriores da Comunidade Europeia, configura um dos mais importantes marcos legais na atualidade, no que tange aos negócios digitais, impactando todos os relacionamentos empresariais que se deem com empresas da Comunidade Europeia ou que armazene dados das pessoas singulares que sejam cidadãos da referida comunidade. Valendo destacar que está em vigor desde maio, deste ano, o aludido nº 2016/679.
Antes de adentrar no assunto de fundo, importante distinguir os tipos de dados pessoais envolvidos (PECK, 2016, p. 485), conforme doutrina:
“Os pontos mais relevantes envolvem, primeiramente, a delimitação clara da distinção entre dados pessoais de natureza cadastral (ligados à identificação do indivíduo), dados sensíveis (relacionados às questões mais íntimas protegidas pela Constituição Federal como origem étnica, racial, a orientação política, sexual, as convicções religiosas, filosóficas e morais, os dados genéticos, e de saúde) e os dados anônimos ou anonimizados (cujo elemento de identificação foi removido ou está ausente).”
Desta forma, como se falará em nível mundial neste curto texto, além de se falar de intimidade e privacidade nas órbitas das legislações nacionais, ou seja, na garantia de direitos fundamentais no plano micro, mas quando se parte para o plano macro se está a tratar de direitos humanos, notadamente amparados em salvaguardar a dignidade da pessoa humana, em todas as suas dimensões, com a proteção dos seus dados.
Sobre o assunto, destacando a importância da harmonização do tratamento de dados com as liberdades e direitos fundamentais, pontou-se (CORRÊA; LOUREIRO, 2018, s/p):
“O Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho da União Europeia, conhecido como Regulamento Geral sobre a Proteção de Dados (GPDR), que entrou em vigor em maio, registra, expressamente, a importância fundamental da circulação de dados nas sociedades atuais, para as empresas, associações e entes públicos. Alerta, também, para o aumento exponencial do tratamento de dados pessoais, associado ao desenvolvimento das tecnologias de informação. E aponta para a necessidade de harmonizar a crescente utilidade e conveniência de tratamento desses dados com as liberdades e direitos fundamentais.”
O professor Masseno, a quem reputo ser uma das maiores autoridades mundiais em termos de proteção de dados pessoais, em material disponibilizado (s/d, s/p), elencou alguns elementares princípios de tratamento de dados, o que aqui interessa sobremaneira, como destacado:
“4 – os Princípios do Tratamento dos Dados:
Vale trazer à colação aqui um resumo coletado de um guia, da empresa Sage, maior empresa do mundo fornecedora de sistemas de gestão empresarial para pequenas e médias empresas (2017, p. 05), que destaca os direitos das pessoas singulares e sua sensibilização, historiando inicialmente com a Diretiva que vigorava antes do Regulamento, a saber:
“Os direitos das pessoas singulares e sua sensibilização
A legislação em vigor na UE sobre a proteção de dados (Diretiva 95/46/CE) confere às pessoas singulares direitos sobre os seus dados pessoais e descreve quais as informações que têm de lhes ser facultadas pelas empresas, designadamente acerca da finalidade a que esses dados pessoais se destinam. É frequente estas informações serem facultadas através de declarações ou notificações de privacidade disponibilizadas num site.
O RGPD expande significativamente o seu âmbito de aplicabilidade, estabelecendo direitos adicionais que têm de ser novamente comunicados às pessoas singulares. Em especial, as pessoas singulares têm de ser informadas de que têm os seguintes direitos (lista meramente indicativa):
Sobre a obrigação das empresas notificarem as Autoridades Supervisoras, assim destacou Moreira (2017, s/p):
“Outra obrigação instituída na GDPR é a de que, frente a um evento de vazamento de dados, capaz de gerar risco às pessoas, a entidade/empresa responsável deverá, em até 72 horas contados da ciência deste fato, notificar a Autoridade Supervisora competente (cada Estado membro indicará uma autoridade para fiscalizar a aplicação da GDPR e receber esse tipo de comunicação). Da mesma forma, deverá notificar o quanto antes as próprias pessoas acerca desse acontecimento, mantendo uma comunicação transparente com as partes envolvidas.”
Sobre leis de proteção de dados pelo mundo, cumpre trazer a colação informações de Agência Brasil (VALENTE, 2018, s/p), compilando alguns países a título demonstrativo, como Estados Unidos, Chile e Argentina:
“(…) Os Estados Unidos também são referência mundial. Não pela existência de uma lei geral, mas pela legislação fragmentada. A Lei de Privacidade de Comunicação Eletrônica (ECPA, na sigla em inglês), de 1986, proíbe a interceptação de mensagens telefônicas ou eletrônicas (como e-mails) e garante a segurança de informações tanto durante a transmissão quanto no armazenamento, inclusive em computadores. (…)
(…) Diversos países têm legislações de proteção de dados na América Latina, como Chile, Argentina, Uruguai e Colômbia. A lei chilena, de 1999, limita o uso dos dados ao propósito informado no ato da coleta, com a exceção de registros tornados públicos. Ela garante aos titulares o direito a acessar as informações de posse de alguma empresa, corrigi-la ou eliminá-la se o armazenamento não respeitar as exigências da Lei ou o tratamento for concluído.
A lei prevê a responsabilização de empresas controladoras de dados em caso de prejuízos aos titulares, com sanções definidas pela Justiça. O texto estabelece algumas diferenças para o Poder Público, limitando o tratamento de dados ao previsto na lei e impedindo divulgação de informações sobre condenações depois de prescreverem. (…)
‘Na Argentina, a Lei de Proteção de Dados Pessoais foi aprovada em 2000. Ela regula bases de dados públicas e privadas, estabelecendo como princípio o uso limitado à finalidade para a qual foram obtidos. O tratamento está condicionado ao consentimento do titular, que deve ser livre, expresso e informado. Essa autorização não é exigida nos casos de bases públicas, no cumprimento de uma obrigação legal, no exercício de funções próprias do Estado e quando as informações se limitam a nome, identidade, profissão, data de nascimento e endereço.
As empresas são obrigadas a atualizar dados incompletos e errados. Não podem manter registros após o término da atividade para a qual foram coletados. Os entes responsáveis pelo tratamento também devem garantir o acesso dos titulares às suas informações. Mas é permitido o repasse de dados a terceiros desde que cumpram um “interesse legítimo” do ente que os estão cedendo. Já órgãos públicos têm regras especiais, como o direito de negar o acesso, a correção e a supressão das informações. Também há menos obrigações no caso de segurança nacional ou segurança pública.’”
No Brasil, na semana passada foi aprovada a Lei de Proteção de Dados, com a pendência de uma Agência Nacional de Proteção de Dados, destacando brevemente o portal Olhar Digital (GUSMÃO, 2018, s/p):
“Foi aprovada por Michel Temer, nesta terça-feira, o PLC 53/2018 que estabelece a lei geral de proteção de dados (LGPD) brasileira. Com a assinatura do presidente, as empresas que processam dados no Brasil terão 18 meses para se adaptar à lei. Mas você sabe o que muda com ela?
De forma resumida, a legislação nacional vai exigir que as companhias mudem a forma como lidam com as informações de seus usuários. “A LGPD estabelece três figuras principais durante o tratamento de dados: o titular, o controlar e o operador”, explicou Vanessa Lerner, advogado especialista em direito digital da Dias Carneiro Advogados. “Em sua essência, a lei não é nada mais do que um conjunto de direitos e obrigações dessas três partes em diferentes momentos, que gera uma rede capaz de proteger a privacidade e a autodeterminação dos titulares de dados pessoas no Brasil.
Patrícia Peck, também advogada especialista em direito digital, resumiu as mudanças: as companhias precisarão de consentimento das pessoas antes de poderem mexer com seus dados, terão que fazer de forma transparente e serão obrigadas a garantir a segurança de tudo que armazenam e processam.”
Assim, ter-se-á melhores subsídios para o enfrentamento de situações como o vazamento de dados enfrentados no mundo, como por exemplo, pela Uber, em 2016 . Ou o vazamento de dados Netshoes, no Brasil, em 2018 . O famoso ataque sofrido pela TARGET . E o recente episódio do Facebook , com a Cambridge Analytica, com o superveniente pedido de falência desta e a perda de bilhões por aquela.
No Brasil temos duas situações curiosas em andamento.
A primeira, em que farmácias estão comercializando dados atrelados ao CPF de clientes (LUIZ, 2018, s/p), o que está sendo investigado pelo Ministério Público:
“O Ministério Público do Distrito Federal iniciou uma investigação para apurar se redes de farmácias do país estão repassando ou vendendo dados sigilosos de clientes, após exigir o CPF deles em troca de desconto. A suspeita é de que a lista de compra de cada consumidor esteja sendo divulgada para empresas de planos de saúde e de análise de crédito, em uma espécie de mercado paralelo.”
A segunda, quase foi leva a efeito, se não fosse a participação da Ordem dos Advogados do Brasil e órgãos de proteção ao consumidor (G1, 2018, s/p):
“O governador Márcio França (PSB) determinou a revogação da portaria da Imprensa Oficial que possibilitava empresas a se credenciarem para contratar o serviço de certificação online de identidade de indivíduos com base em dados biográficos e impressão digital. O Sistema de Dados Biométricos foi lançado em março durante a gestão de Geraldo Alckmin (PSDB).
Márcio França negou nesta quarta-feira (13) que o governo paulista faça a venda de informações sigilosas de identificação da população incluídas no cadastro do RG, como a digital, para empresas. Em entrevista em Santos, no entanto, o governador não descartou a possibilidade de o sistema ser usado por particulares.”
Como se nota, o Regulamento Geral de Proteção de Dados Europeu é um modelo que se espraiou e se espraia pelo mundo todo, inclusive com a exigência de que todas as empresas e países também se adaptem para que as relações mantidas com os países europeus se consolidem de modo legal.
Desta forma, os dados dos consumidores/cidadãos devem ser respeitados. Os dados devem ser salvaguardados, gerando-se diversas novas obrigações às empresas, como: escopo de aplicação, autorização para o tratamento de dados, o uso por determinado espaço de tempo, a correção e exclusão de dados quando solicitada rogada pela pessoa interessada, a imediata notificação obrigatória em caso de incidentes de segurança envolvendo dados e assim como outros importantes itens.
A novel Lei Brasileira – 13.709/18 – traz além de toda essa influência do RGPD, alguns itens que se entende como pilares da lei, quais sejam: a) criação de uma Autoridade Nacional para acompanhamento da aplicação da lei, ainda pendente; b) a obrigação de responsável legal dentro das corporações sobre os dados, inclusive com a gestão frente a empresas terceirizadas; c) multa de até 2% (dois por cento) do faturamento da pessoa jurídica no seu último exercício, limitada a R$ 50.000.000,00 (cinquenta milhões de reais), por infração.
Com as rápidas mudanças tecnológicas as normas terão que ser atualizadas, eventualmente, de tempo em tempos, mas é importante que carreguem esse caráter principio lógico que pode ter uma estrutura mais duradoura, com plena antevisão do porvir negocial.
Destarte, espera-se que, os países evoluam com a legislação específica, respeitando-se os dados das pessoas, bem como, a sua consequente dignidade da pessoa humana, respeitando-se as suas intimidades e privacidades, dentro do que se pode ser considerado razoável e proporcional.
Adriano Augusto Fidalgo. Advogado. Auditor Jurídico. Especialista em Direito Processual Civil pela Universidade São Francisco. Especialista em Direito Tributário pela Escola Superior de Advocacia da OAB/SP. MBA em Auditoria pela Universidade Nove de Julho. Presidente da Comissão Especial de Direito Digital e Compliance da OAB/Santana. Especialista em Computação Forense pela Universidade Mackenzie. Mestrando em Educação pela Universidade Nove de Julho, na Linha de Pesquisa: Educação, Filosofia e Formação Humana. Membro Efetivo da Comissão Especial de Educação Digital da OAB/SP. Membro Efetivo da Comissão Especial de Direito Digital e Compliance da OAB/SP. Membro das Comissões de Direito do Consumidor, CONSEG e OAB vai à Escola, da Subseção da OAB/Santana. Certificações em Tecnologia da Informação pela ITCERTS, do Canadá, nos cursos de Ethical Hacking Essentials, Information Security Policy Foundation e Infosec Foundation. Certificado pelas Academais do INPI (Instituto Nacional de Propriedade Industrial) e World Intelectual Property Organization (WIPO) no Curso Geral de Propriedade Intelectual. Certificações em Fundamentos da Gestão de TI, Ética Empresarial, Processo de Comunicação e Comunicação Institucional, todos pela FGV. Articulista nos Portais TI Especialistas, Direito & TI, Profissionais TI, Yes Marília, Jurisway, Jusnavigandi e Administradores. Palestrante e Pesquisador.
REFERÊNCIAS
CÔRREA, Adriana Espíndola; LOUREIRO, Maria Fernanda Battaglin. Novo regulamento europeu é reforço na proteção dos dados pessoais? (Parte 1). CONJUR. Atualizado em: 09.Jul.2018. Disponível em: https://www.conjur.com.br/2018-jul-09/direito-civil-atual-regulamento-europeu-ereforco-protecao-dados-pessoais. Acesso em: 18/08/18.
GUSMÃO, Gustavo. O que muda com a lei de proteção de dados brasileira aprovada por Temer. OLHAR DIGITAL. Atualizado em: 14.Ago.2018. Disponível em: https://olhardigital.com.br/pro/noticia/o-que-muda-com-a-lei-de-protecao-de-dados-brasileira-aprovada-por-temer/77329. Acesso em: 18/08/18.
G1. Governo de SP revoga portaria que possibilitava empresas contratarem serviço com dados da população. Atualizado em: 14.Jun.2018. Disponível em: https://g1.globo.com/sp/sao-paulo/noticia/governo-de-sp-revoga-portaria-que-possibilitava-empresas-contratarem-servico-com-dados-da-populacao.ghtml. Acesso em: 19/08/18.
LUIZ, Gabriel. CPF em troca de desconto: MP investiga venda de dados de clientes por farmácias. G1. Atualizado em: 16.Mar.2018. Disponível em: https://g1.globo.com/df/distrito-federal/noticia/cpf-em-troca-de-desconto-mp-investiga-venda-de-dados-de-clientes-por-farmacias.ghtml. Acesso em: 19/08/18.
MASSENO, Manuel David. Regulamento Geral sobre Proteção de Dados: alguns tópicos fundamentais. IBEJA. Sem data. Disponível em: http://ipbeja.academia.edu/ManuelDavidMasseno. Acesso em: 18/08/18.
MOREIRA, André de Oliveira Schenini. A lei de proteção de dados pessoais da União Europeia (GDPR) e sua aplicação extraterritorial às entidades e empresas brasileiras. MIGALHAS. Atualizado em: 24.Out.2017. Disponível em: https://www.migalhas.com.br/dePeso/16,MI267772,81042-A+lei+de+protecao+de+dados+pessoais+da+Uniao+Europeia+GDPR+e+sua. Acesso em: 19/08/18.
PINHEIRO, Patricia Peck. Direito Digital. 6ª Edição, São Paulo: Saraiva, 2016.
SAGE. Regulamento Geral sobre Proteção de Dados (RGPD): Guia prático da SAGE para empresas. 2017. Disponível em: https://www.sage.pt/~/media/markets/pt/rgpd/images/GuiaPratico_GDPR.pdf. Acesso em: 19/08/18.
VALENTE, Jonas. Legislação da proteção de dados já é uma realidade em outros países. AGÊNCIA BRASIL. Atualizado em: 07.Mai.2018. Disponível em: http://agenciabrasil.ebc.com.br/politica/noticia/2018-05/legislacao-de-protecao-de-dados-ja-e-realidade-em-outros-paises. Acesso em: 19/08/18.
* "O presente trabalho foi realizado com apoio da Coordenação de Aperfeiçoamento de Pessoal de Nível Superior - Brasil (CAPES) - Código de Financiamento 001 Advogado. Auditor Jurídico. Decano Honorifico de la California Silicon Valley School Of The Law. Especialização em Direito Processual Civil pela Universidade São Francisco. Especialização em Direito Tributário pela Escola Superior de Advocacia da OAB/SP. MBA (Master Business Administration) em Auditoria pela Universidade Nove de Julho. Presidente da Comissão Especial de Direito Digital e Compliance da OAB/Santana. Especialização em Computação Forense pela Universidade Mackenzie. Mestrando em Educação pela Universidade Nove de Julho, na Linha de Pesquisa: Educação, Filosofia e Formação Humana. Membro Efetivo da Comissão Especial de Educação Digital da OAB/SP. Membro Efetivo da Comissão Especial de Direito Digital e Compliance da OAB/SP. Membro das Comissões de Direito do Consumidor, CONSEG e OAB vai à Escola, da Subseção da OAB/Santana. Certificações em Tecnologia da Informação pela ITCERTS, do Canadá, nos cursos de Ethical Hacking Essentials, Information Security Policy Foundation e Infosec Foundation. Certificado pelas Academais do INPI (Instituto Nacional de Propriedade Industrial) e World Intelectual Property Organization (WIPO) no Curso Geral de Propriedade Intelectual. Com certificações em Fundamentos da Gestão de TI, Ética Empresarial, Processo de Comunicação e Comunicação Institucional, todos pela FGV. Articulista nos Portais TI Especialistas, Direito & TI, Administradores, Jurisway e Jusnavigandi. Pesquisador cadastrado no CNPQ nos seguintes Grupos de Pesquisa: I) GRUPEFE - Grupo de Pesquisa em Filosofia da Educação. II) GRUPETECD - Grupo de Pesquisa em Educação, Tecnologias e Cultura Digital. Autor do livro: Reputação Digital no Facebook, Sustentabilidade Empresarial e o Consumidor. Palestrante. Professor da Escola Superior de Advocacia da Ordem dos Advogados do Brasil de São Paulo - ESA/SP. E-mail: fidalgo@aasp.org.br. Telefone: (11)94748-7539.
You must be logged in to post a comment.
