Dr. João Carlos Adalberto Zolandeck
Dr. Ubiratan de Mattos.
Modula-se a abordagem da LGPD em algumas informações básicas, norteadoras da reflexão e da compreensão pretendidas:
Lei Geral de Proteção de Dados Pessoais: LEI nº 13.709, de 14 de agosto de 2018.
Promulgada em 14 de agosto de 2018.
Entrada em vigor: setembro de 2020.
Entrada em vigor das suas sanções administrativas: agosto de 2021.
Já no seu art. 1.º A LGPD anuncia o escopo que a norteia:
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Como se vê, a proteção anunciada dirige-se, nada mais nada menos, do que à liberdade, à privacidade e ao “livre desenvolvimento da personalidade da pessoa natural”. E qual o recorte, o viés, qual o aspecto eleito para tal proteção? Resposta: os dados pessoais, já declarados como sendo todos os dados, inclusive, mas não somente, os dados digitais, tratados por toda e qualquer pessoa, seja física ou jurídica, de direito público ou privado.
Está caracterizada, na abertura do texto legal, a nobreza dos direitos a serem protegidos e a ampla superfície que a Lei se propõe a atingir e agasalhar, mas, por outro lado, cabe uma avaliação dos custos de transação, ou seja, os custos para dar atendimento ao novo regramento e indagar se isso foi levado em conta pelo legislador. Cabe a pergunta: houve, de fato, um estudo avaliativo das consequências, considerando-se o investimento necessário para a adequação e regularidade?
Muito interessante o momento histórico, sociológico e existencial em que se dá o advento da LGPD. Há uma década, aproximadamente, vem-se fechando o cerco ao cidadão, no mundo e no Brasil, constrangendo-o exatamente nos valores da sua liberdade e sua privacidade. Sobram notícias de apropriação indevida, criminosa, de imagens e de narrativas, com subsequente uso não autorizado, chegando à publicidade indiscriminada e ilegal. A “ciber-tecnologia”, alta e explosivamente desenvolvida, forneceu, infelizmente, a criminosos potenciais, elementos de acesso facilitado às áreas sagradas da individualidade, as quais, inúmeras vezes, sendo divulgadas irrestrita e irresponsavelmente, causam danos irreparáveis aos seus titulares.
O mundo explode em superpopulação e avança em tecnologia. O indivíduo, mais confortável do que nunca, experimenta comodidades e possibilidades impressionantes, ampliadas a velocidade incrível, dia após dia, na sua comunicação, na sua locomoção, nas interações digitais e mesmo nas físicas, ainda que a tendência constatada seja a do isolamento físico, simultâneo ao crescimento das interações a distância.
Numa área um tanto cinzenta, simultaneamente dentro e fora do ilícito, porém já suficientemente invasiva e desconfortável, esse cidadão contemporâneo foi experimentando invasões da sua privacidade, sendo alcançado por vendedores de produtos e serviços, predominantemente pessoas jurídicas, ao telefone celular, fora de hora e de lugar, sábados e domingos à noite, dias normais de semana ou em feriados, em insistência irritante, dando conta de conhecer dados da vida privada do interlocutor, os quais ele nunca expôs a terceiros e quartos desconhecidos. O problema subjacente, aí, é que os dados pessoais, na medida em que anunciam diretamente preferências, valores, inserção social, esportiva, política, educacional e outras tantas, passam a ter valor econômico potencial, na medida em que sugerem consumidores possíveis (prospects ou leads) para vendedores oportunistas. Tal valor econômico é de alcance expressivo em muitos e muitos casos. E a lesão é bem maior do que se poderia imaginar a priori, uma vez que ultrapassa a simples e primária reação de sofrimento diante de um “vendedor chato”. A indiscriminada exposição de dados pessoais pode gerar (e tem gerado!) obstáculos e lesões dos mais variados tipos e níveis, prejudicando o exercício da livre iniciativa, alcançando o direito à concorrência, às escolhas, ao crescimento e desenvolvimento pessoal, às estratégias de acesso e mantença social, educacional, profissional e outros tantos alvos de realização do indivíduo dependentes da privacidade, do deslocamento autodeterminado e privativo, da informação, da intimidade, da dignidade, etc. Esse efeito-prejuízo, nefasto por si e em si, promoveu a escala de proteção e prevenção articuladas no espírito do art. 2.º da LGPD:
“Art. 2º – A disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.”
Pois bem, a partir de certo momento (e este é o momento), vem uma resposta de esperança a tais desmandos contra a liberdade e a privacidade, com ressalvas em relação à extensão do texto legal e os custos envolvidos Os dados pessoais, mais do que antes e do que nunca, não só com a LGPD, mas principal e predominantemente com ela e a partir dela, passam a compor verdadeira extensão da personalidade do seu titular, e a sua proteção passa a tipificar as transgressões como ilícitos civis fortemente reprimíveis e puníveis, à custa de expressivas multas quando adotadas condutas expressamente proibidas.
A LGPD traz e consuma a proteção calcada na responsabilização minuciosa dos agentes das transgressões que instaura como tais. É bem verdade que, como ocorre com normas de características similares, já dotada da eficácia jurídica que o ritual legal lhe conferiu, a Lei será exposta ao crivo da eficácia social, só aferível na prática, após e durante o seu “banho” no caldo social. Ainda mais, neste caso, será necessário o acolhimento das minúcias da Lei, que não são poucas. Está prevista, inclusive, a publicidade da tomada e tratamento dos dados pelo “controlador” (“pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” — definição dada pelo inciso VI do art. 5.º), ou seja, em caso de descumprimento da Lei, a imagem da empresa certamente será punitivamente atingida, além da multa cabível. Nem é preciso lembrar, aqui, a seriedade e a gravidade do impacto social sobre o nome e a fama de qualquer pessoa (natural ou jurídica) e os efeitos econômicos deletérios decorrentes de desprestígios desse nível.
Tudo isso se inscreve no “espírito da lei” e dialoga com a gestão da rede comportamental de tratamento legal dos dados pessoais, que está a cargo de órgão específico, nos termos da LGPD, art. 55-A:
“Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.” (Grifo nosso)
A ANPD, positivada “de jure” e, neste momento, ainda por ser criada “de facto”) atuará extensivamente, com autoridade e prerrogativas, inclusive, para cobrar relatórios dos “controladores” dos dados pessoais envolvidos, como previsto no § 3.º do art. 4.º da Lei:
“§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do ‘caput’ deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.” (Grifos nossos)
E a Lei apresenta expressa definição explicativa do que seja o relatório a ser eventualmente cobrado do “controlador”, conforme a letra do inciso XVII do seu §art. 5.º, a saber:
“XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;” (Grifo nosso)
Percebe-se, da leitura direta deste item da Lei, a preocupação do legislador em descer a detalhes compromissórios e responsabilizadores, a ponto de exigir que o detentor/captador dos dados pessoais em foco (o “controlador”), no relatório de impacto a ser apresentado, descreva os processos específicos, potencialmente danosos, possíveis de ocorrer, bem como o que se propõe a fazer (ou já faz) para impedir ou minimizar o risco descrito.
Até mesmo a presença de base legal clara (hipótese expressa e explícita da LGPD que permita o tratamento de dados pessoais), como, por exemplo, o “legítimo interesse” do controlador, foi prevista, caracterizada em qualidade e limitada em abrangência. Portanto Não basta ao controlador possuir legítimo interesse no tratamento dos dados, ele deverá se inscrever no recorte desse universo descrito na Lei e, ainda, estará vinculado ao dever do relatório à AND, em seus termos detalhados, conforme reza o art. 10 e seus incisos, dos quais cabe destaque ao § 3.º do inciso II:
“§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.” (Grifo nosso)
E, para enfatizar a amplitude dessa “mens legis”, diga-se que até mesmo o poder público é alcançado pelo dever de relatar em minúcias o campo e os efeitos do tratamento dos dados. Veja-se o art. 32:
“Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.”
E já se tem decisão judicial (quem sabe uma das primeiras) envolvendo os fundamentos da LGPD. Trata-se da sentença da 13.ª Vara Cível da Comarca de (SP), no Processo N.º 1080233-94.2019.8.26.0100, que condenou uma construtora a pagar indenização ao Autor, que teve seus dados pessoais repassados a terceiros, os quais vieram a assediar, insistentemente, o Autor, para fornecimento de produtos e serviços, tudo decorrente de seu contrato com a Ré, sem que ele tivesse autorizado repasse de seus dados. U trecho da sentença basta para ilustrar o fundamento, que o Juízo aponta como sendo, entre outros de leis paralelas, o art. 2.º da LGPD. Veja-se:
“…É nesse contexto que os dados surgem como bens jurídicos tutelados pela ordem jurídica, porquanto relacionados a diversos outros direitos também fundamentais, conforme o supracitado art. 2º da LGPD.
… No caso em comento, resta devidamente comprovado que o autor foi assediado por diversas empresas pelo fato de ter firmado instrumento contratual com a ré para a aquisição de unidade autônoma em empreendimento imobiliário. Os documentos de fls. 107/146 e 1080/1087 confirmam que recebera o contato de instituições financeiras, consórcios, empresas de arquitetura e de construção e fornecimento de mobiliário planejado pelo fato de ter adquirido imóvel junto à requerida.” (Grifo nosso)
Até o momento da elaboração deste texto o Órgão Regulador a que se refere o artigo 55-A não havia sido instituído. O processo decisório do empresário estará mais bem ancorado a partir da regulação, pois permitirá conhecer a estrutura de fiscalização e ação para observar a eficiência da norma jurídica posta no que diz respeito ao atingimento do objetivo-fim.
Verdadeiras fortunas têm sido investidas pelas grandes e médias empresas para dar atendimento e exigir atendimento segundo a letra fria da lei, antecipando-se na criação de políticas despiciendas e em desacordo com a realidade da empresa e dos dados que precisa tratar e eventos que precisa prevenir quanto ao uso indevido, até porque cada empresa ou cada organização centralizadora de dados tem uma realidade que é só dela.
Para o efeito prático, entende-se que três componentes são indispensáveis para o atendimento da LGPD, destacando-se: profissionais de TI para o mapeamento dos dados, profissionais de processamento de dados para a indicação ou criação de softwares segundo o mapeamento realizado pelos primeiros, e substancialmente, o jurídico, diante da necessidade de dar tratamento legal aos dados (dentre eles os conteúdos contratuais da rotina) segundo o grau de risco, explicitando-se o registro do fundamento legal de cada dado a ser tratado, bases legais e princípios envolvidos, pois o enquadramento inadequado trará repercussões importantes e penalidades não desejadas e não contingenciadas pelo radar da gestão tradicional.
O mapeamento adequado e a automação facilitarão as atividades diárias dos responsáveis pela proteção dos dados dos titulares. É a partir do mapeamento que derivam as demais etapas, pois, dentre as primeiras necessidades do diagnóstico, a atenção estará sobre: a identificação dos dados a serem tratados, sistemas de coleta de dados; sistemas que recebem os dados para tratamento; controle dos operadores e dos documentos de monitoramento; criação de processos internos e cadastros de atividades; backups e acessos internos/externos; sistemas de biometria (se existentes); banco de contratos e cláusulas de confidencialidade, não competição, de propriedade intelectual, segredo de fábrica, dentre outras estruturas jurídicas emanadas das atividades econômicas do agente/empresário.
A próxima etapa depois do mapeamento/diagnóstico é dar tratamento e classificar os riscos, explicitando-se a vulnerabilidade e a consequência do uso indevido dos dados e informações. Criam-se, a partir daí, padrões de acordo com as boas práticas de governança (LGPD, art. 50), em cuja etapa o departamento jurídico deverá debruçar-se para dar norte à criação de todas as políticas de segurança da informação e de privacidade dos dados (e não são poucas!).
Para que tudo isso dê certo, há que se implementar um plano de ação e de continuidade, como sugere a LGPD, pois existem relatórios a serem institucionalizados na empresa, destacando-se os de impacto para os riscos verificados e proteção dos dados, além dos relatórios de tratamento, de mapeamento de processos, fluxo dos dados e de capacitação dos operadores.
Deste modo, três inteligências devem estar reunidas — desde o início do processo de implantação — para que o resultado seja exitoso, do contrário ter-se-á apenas a descrição do que se tem a fazer (o que a própria lei já informa), mas sem implantação das rotinas de atendimento pleno, o que não parece ser o objetivo de quem investe na conformidade.
Ficam aqui, portanto, dois registros, o primeiro diz respeito à necessidade, sim, de proteção de dados, diante de toda a vivência explicitada, e o segundo, aos cuidados para não onerar demais a empresa, encontrando meios eficientes para implantação programática, segundo a realidade de cada empresa. Tem-se constatado, na prática, o envio indiscriminado de notificações de grandes empresas a pequenos e médios fornecedores, exigindo-se conformidade e, ao mesmo tempo, a criação de várias políticas; no entanto os dados de parte a parte diferem em tipo, volume e tratamento. Para tais níveis de atendimento e adequação, forçosamente uma pequena ou média empresa teria que ter a mesma estrutura de uma grande.
Conclui-se com a percepção de que a LGPD alça a proteção a direitos individuais relacionados à intimidade e à vida privada a um estágio mais elevado em relação ao pregresso uso indiscriminado de dados e informações pessoais para efeitos econômicos, cabendo ao empresário prudência para não inviabilizar a sua atividade econômica com estruturas muito onerosas em relação aos dados dos quais está obrigado a tratar sob rígidos detalhes, sendo imperiosos os cuidados com os termos de consentimento, bem como tudo o mais que se relacione com a imagem e a vida privada dos titulares desses direitos fundamentais.