Direito Digital: guia da Lei Geral de Proteção de Dados Pessoais (LGPD)
- Dicas
- Athena Bastos
- 21 de novembro de 2018
- Atualizado em: 10 de abril de 2019
- Tempo de Leitura: 9 minuto(s)
Direito Digital e Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18)
Redes sociais, cadastro de clientes, acessos diversos na era virtual. Desse modo, os indivíduos fornecem seus dados a empresas de diversos ramos e para fins ainda mais diversos. Serviços aparentemente gratuitos, que se utilizam dos dados de seus usuários como produtos, são cada vez mais insurgentes na sociedade. E cabe ao ordenamento jurídico tutelar essas novas relações. É assim então que desponta uma importante questão no conhecido direito digital.
Diante da tendência de regulamentação das relações jurídico-virtuais, algo que há muito se discutia, foi editada, no Brasil, a Lei nº 13.709/18. Sucessora do Marco Civil da Internet, de 2014, a chamada Lei Geral de Proteção de Dados Pessoais (LGPD) visa regulamentar a concessão e o uso de dados no ambiente virtual. E, por essa razão, é considerada uma grande inovação.
Embora ainda não esteja em vigor, devido ao período previsto de vacatio legis, a legislação já provoca mudanças. Isto porque o tempo para sua entrada em vigor é um período de adaptação. Muitas políticas e práticas de consumo devem se alterar, neste período.
Portanto, é importante entender o panorama geral da lei e suas implicações no universo jurídico. E assim, estar preparado para as modificações futuras.
Lei Geral de Proteção de Dados Pessoais e Marco Civil da Internet
A Lei Geral de Proteção de Dados (LGPD), publicada em agosto de 2018, é considerada a primeira lei brasileira acerca do tema. Em 2015, foi promulgada a Lei nº 12.965, também conhecida como Marco Civil da Internet.
O Marco Civil da Internet foi inovador no sentido de regulamentar, juridicamente, as atividades online. Foi uma introdução importante no direito digital brasileiro, pois, até então, as relações online eram reguladas por legislações não específicas. Aplicava-se, por exemplo, legislação de direito penal, de direitos autorais e direitos da personalidade.
Apesar das similaridades das relações jurídicas virtuais com aquelas já previstas na legislação brasileira, não se pode ignorar as particularidades do meio. Ainda que se tenha adaptado alguns institutos às modificações da modernidade, persistiam algumas incoerências e lacunas.
Necessitava-se, portanto, de maior regulamentação no âmbito do direito digital. Assim, o Marco Civil da Internet se destacou por prever princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
No entanto, ele próprio deixava uma importante lacuna: a questão dos dados pessoais no direito digital. Reconheceu as relações jurídico-virtuais e os efeitos delas no ordenamento. Dispôs, por exemplo, acerca dos crimes cibernéticos. Mas deixou de abordar como os dados fornecidos pelos usuários poderiam ser utilizados pelas empresas.
Lei Geral de Proteção de Dados Pessoais (LGPD) e Regulamento Geral sobre a Proteção de Dados (RGPD)
A inovação brasileira, de fato, é mais inspirada na inovadora legislação europeia, também de 2018. Trata-se de uma tendência mundial em face do contexto contemporâneo. Afinal, só no Brasil o número de usuários no facebook, por exemplo, ultrapassa 127 milhões.
No entanto, não são apenas as redes sociais que captam dados dos usuários. Muitas atividades realizadas no meio digital, por mais inofensivas, dirigem-se a isto. Não obstante à utilização econômica desses dados, vários foram os escândalos envolvendo atividades de hackers ao longo dos últimos anos. Portanto, não apenas os dados eram revertidos em valores sem o conhecimento dos usuários. Também não se regulamentava o dever de proteção e a responsabilização por esses dados.
Desse modo, visando a segurança dessas informações, viu-se a necessidade de editar legislações capazes de suprir essas lacunas. A LGPD, então, baseia-se nessa tendência inaugurada com o Regulamento Geral sobre a Proteção de Dados (RGPD).
A legislação europeia estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na União Europeia. Não se aplica, contudo, a pessoas falecidas ou pessoas coletivas.
Análise da Lei nº 13.709/18
Desde 2010, o tema envolvendo o direito digital tem sido discutido. Naquele ano, abriu-se consulta pública sobre o tema, e, em 2016, foi proposto o Projeto de Lei 5276/2016. Depois de 2 anos de trâmite, aprovou-se, então, a Lei nº 13.709/18.
O artigo 1º da Lei Geral de Proteção de Dados dispõe:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Certamente, o principal tema de destaque gira em torno do consentimento. Isto porque, em muitos casos, a concessão de direitos sobre os dados não é explícita. Desse modo, o usuário acaba por consentir tacitamente com uma cláusula de que sequer possui conhecimento.
A abrangência da legislação, no entanto, vai além disso. A lei, então, aborda questões acerca dos usos desses dados, limitando as atividades das empresas e visando assegurar direitos como a liberdade, a privacidade e a personalidade, em uma adaptação das normas aos contextos atuais. Afinal como estabelece em seu artigo 17:
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Conceitos da LGPD
Um dos pontos importantes da legislação. para o direito digital. é a preocupação em estabelecer conceitos. Sobretudo quando se fala de meios digitais, é preciso compreender os limites e significados dos termos utilizados. O que se entende por dados, por exemplo? Toda e qualquer informação fornecida?
É, assim, um meio de evitar-se tanto equívocos, quanto possíveis alegações que visem o cerceamento dos direitos protegidos.
O artigo 5º da Lei nº 13.709/18, então, define:
Dados
Segundo o artigo 5º da LGPD, dados, no direito digital, podem significar:
|
|
Sujeitos e órgãos
O artigo 5º da Lei Geral de Proteção de Dados conceitua os seguintes termos, utilizados no âmbito do direito digital para definir sujeitos e órgãos atuantes nas relações jurídicas:
|
|
Ações
São ações relativas ao direito digital, conceituadas pelo artigo 5º:
|
|
Instrumentos
São os instrumentos conceituados no artigo 5º da LGPD de importância ao direito digital:
|
|
Impactos na prática jurídica
Os impactos da nova legislação são grandes, sobretudo em se tratando de direito digital. Todavia, a nova lei não impacta apenas diretamente redes sociais e afins, como se inclina a pensar. Pelo contrário, como mencionado, o uso de dados é geral.
Qualquer empresa – ou negócio, como se prefira identificar – que colete dados de seus clientes e os armazene digitalmente deve observar as prescrições legais da LGPD.
Estão incluídos, portanto, os escritórios de advocacia. Principalmente, porque os escritórios, cada vez mais, se inserem no mundo digital, seja para a conquista e fidelização de clientes ou pela gestão do escritório. Afinal, o conceito de controlador de dados não exclui a sociedade ou os profissionais de Direito.
Entenda, então, alguns pontos específicos dos impactos da legislação na prática jurídica:
Consentimento
A importância da questão do consentimento já foi abordada anteriormente. E em uma sociedade pautada em práticas neoliberais, não poderia diferente. Em um negócio jurídico, a manifestação de vontade das partes é essencial. E por que seria diferente com a concessão de dados virtuais?
Ainda que seja comum o desconhecimento do usuário acerca da concessão de seus dados, permanece a característica de um contrato.O que a Lei Geral de Proteção de Dados visa modificar, portanto, é a proteção das condições desse consentimento, uma vez que, nos contexto atuais, ele é, muitas vezes, inexistente.
Nesse sentido, o artigo 8º da Lei 13.709/18 estabelece que o consentimento para uso dos dados “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Ou seja, as cláusulas deverão ser apresentadas aos usuários. Assim, poderão concordar expressamente com a utilização das informações coletadas.
Igualmente, o consentimento poderá ser revogado a qualquer momento, como defende o parágrafo 5º do mencionado artigo:
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
Dessa maneira, é facultado ao usuário, a qualquer tempo, requisitar que seus dados sejam eliminados, independentemente do consentimento fornecido em dado momento, observadas, por óbvio, as disposições legais.
Cabe ressaltar, ainda, que o artigo 7º da Lei 13.709/18 prevê hipóteses independentes do consentimento, mas que, de todo modo, devem observar requisitos previstos em lei.
Fiscalização
Como observado, a Lei nº 13.709/18 previa a instituição de uma autoridade nacional responsável pela fiscalização da aplicação da lei. Todavia, o projeto de criação da chamada Agência Nacional de Proteção de Dados (ANPD) foi vetado pelo então presidente Michel Temer. Apesar da previsão de uma autoridade, ainda se espera pela solução dessa lacuna.
Enquanto isso, fica o Poder Judiciário responsável pela análise e observação dos dispositivos legais. Portanto, uma vez que os conflitos são levados a juízo, o papel do advogado no direito digital ganha cada vez mais importância. A área emerge, assim, como um campo promissor em demandas, sobretudo enquanto as interpretações sobre a nova legislação não forem pacificadas. Dessarte, a argumentação jurídica será essencial para o desenvolvimento do ramo.
Proteção de dados jurídicos
Quando os escritórios coletam dados de seus clientes, através das redes sociais, utilizadas em estratégias de networking, ou mesmo fornecidas contratualmente pelos clientes, também devem estar atentos às novas regras. Claro, não se pode ignorar as regras já existentes e pertinentes à advocacia, uma vez que o próprio Estatuto da Advocacia prevê o dever do sigilo e da proteção dos dados fornecidos.
Nesse sentido, o artigo 34 da Lei 8.906/94 e seu inciso VII prevê que constitui infração a violação, sem justa causa, do sigilo profissional. Do mesmo, estabelece o Código de Ética da OAB.
Ainda assim, como a nova legislação acerca do direito digital influencia o cotidiano do advogado além da defesa dos casos levados a juízo?
Em primeiro lugar, as estratégias de marketing jurídico e de proteção dos dados devem ser revisadas. Medidas de segurança podem ser tomadas no armazenamento, como proteção nos sites e utilização de softwares jurídicos confiáveis.
Em segundo lugar, é importante cientificar aos titulares dos dados sob as possíveis utilizações de seus dados.
Sanções aos controladores e operadores dos dados
Com o intuito de tornar eficazes as previsões legais, a LGPD também estabelece sanções àqueles que causarem dano no tratamento dos dados pessoais. Assim, dispõe o artigo 42 da Lei 13.709/18 acerca da responsabilidade de indenização:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
- o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
- os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
Percebe-se portanto, que a legislação se preocupa em caracterizar a responsabilidade sobre o dano como solidária entre os agentes de tratamento (operador e controlador) quando:
- o operador descumprir normas de proteção de dados;
- o operador não seguir as instruções lícitas do controlador;
- o controlador estiver diretamente envolvido no tratamento realizado pelo operador e do qual resulte o dano.
Cabe mencionar, por fim, que o juiz pode determinar a inversão do ônus da prova caso entenda ser verossímil a alegação do titular dos dados ou muito onerosa a prova.
Exceções à responsabilidade
Como o artigo 42 observa, existem exceções à responsabilidade de indenizar. Desse modo, eximem-se aqueles que comprovarem, conforme o artigo 43 da LGPD:
-
- que não realizaram o tratamento de dados pessoais que lhes é atribuído;
-
- que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
- que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
É importante destacar, contudo, que a lei ainda não se encontra vigente. Conforme estabelecido, somente entrará em vigor 18 meses após a sua publicação, qual seja no dia 14 de agosto de 2018. As empresas, portanto, possuem até o início de 2020 para se adaptarem às novas regulamentações