Direito Digital: guia da Lei Geral de Proteção de Dados Pessoais (LGPDP)

Comente!

Tempo de leitura: 16 minutos

(Last Updated On: 26 de novembro de 2018)

Direito Digital e Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18)

Redes sociais, cadastro de clientes, acessos diversos na era virtual. Desse modo, os indivíduos fornecem seus dados a empresas de diversos ramos e para fins ainda mais diversos. Serviços aparentemente gratuitos, que se utilizam dos dados de seus usuários como produtos, são cada vez mais insurgentes na sociedade. E cabe ao ordenamento jurídico tutelar essas novas relações. É assim então que desponta uma importante questão no conhecido direito digital.

Diante da tendência de regulamentação das relações jurídico-virtuais, algo que há muito se discutia, foi editada, no Brasil, a Lei nº 13.709/18. Sucessora do Marco Civil da Internet, de 2014, a chamada Lei Geral de Proteção de Dados Pessoais (LGPDP) visa regulamentar a concessão e o uso de dados no ambiente virtual. E, por essa razão, é considerada uma grande inovação.

Embora ainda não esteja em vigor, devido ao período previsto de vacatio legis, a legislação já provoca mudanças. Isto porque o tempo para sua entrada em vigor é um período de adaptação. Muitas políticas e práticas de consumo devem se alterar, neste período.

direito digital lei geral de proteção de dados

Portanto, é importante entender o panorama geral da lei e suas implicações no universo jurídico. E assim, estar preparado para as modificações futuras.



Lei Geral de Proteção de Dados Pessoais e Marco Civil da Internet

A Lei Geral de Proteção de Dados (LGPDP), publicada em agosto de 2018, é considerada a primeira lei brasileira acerca do tema. Em 2015, foi promulgada a Lei nº 12.965, também conhecida como Marco Civil da Internet.

O Marco Civil da Internet foi inovador no sentido de regulamentar, juridicamente, as atividades online. Foi uma introdução importante no direito digital brasileiro, pois, até então, as relações online eram reguladas por legislações não específicas. Aplicava-se, por exemplo, legislação de direito penal, de direitos autorais e direitos da personalidade.

Apesar das similaridades das relações jurídicas virtuais com aquelas já previstas na legislação brasileira, não se pode ignorar as particularidades do meio. Ainda que se tenha adaptado alguns institutos às modificações da modernidade, persistiam algumas incoerências e lacunas.

Necessitava-se, portanto, de maior regulamentação no âmbito do direito digital. Assim, o Marco Civil da Internet se destacou por prever princípios, garantias, direitos e deveres para o uso da Internet no Brasil.

No entanto, ele próprio deixava uma importante lacuna: a questão dos dados pessoais no direito digital. Reconheceu as relações jurídico-virtuais e os efeitos delas no ordenamento. Dispôs, por exemplo, acerca dos crimes cibernéticos. Mas deixou de abordar como os dados fornecidos pelos usuários poderiam ser utilizados pelas empresas.

Lei Geral de Proteção de Dados Pessoais (LGPDP) e Regulamento Geral sobre a Proteção de Dados (RGDP)

A inovação brasileira, de fato, é mais inspirada na inovadora legislação europeia, também de 2018. Trata-se de uma tendência mundial em face do contexto contemporâneo. Afinal, só no Brasil o número de usuários no facebook, por exemplo, ultrapassa 127 milhões.

No entanto, não são apenas as redes sociais que captam dados dos usuários. Muitas atividades realizadas no meio digital, por mais inofensivas, dirigem-se a isto. Não obstante à utilização econômica desses dados, vários foram os escândalos envolvendo atividades de hackers ao longo dos últimos anos. Portanto, não apenas os dados eram revertidos em valores sem o conhecimento dos usuários. Também não se regulamentava o dever de proteção e a responsabilização por esses dados.

Desse modo, visando a segurança dessas informações, viu-se a necessidade de editar legislações capazes de suprir essas lacunas.  A LGPDP, então, baseia-se nessa tendência inaugurada com o Regulamento Geral sobre a Proteção de Dados (RGPD).

A legislação europeia estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na União Europeia. Não se aplica, contudo, a pessoas falecidas ou pessoas coletivas.

Análise da Lei nº 13.709/18

Desde 2010, o tema envolvendo o direito digital tem sido discutido. Naquele ano, abriu-se consulta pública sobre o tema, e, em 2016, foi proposto o Projeto de Lei 5276/2016. Depois de 2 anos de trâmite, aprovou-se, então, a Lei nº 13.709/18.

O artigo 1º da Lei Geral de Proteção de Dados dispõe:

Art. 1º  Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Certamente, o principal tema de destaque gira em torno do consentimento. Isto porque, em muitos casos, a concessão de direitos sobre os dados não é explícita. Desse modo, o usuário acaba por consentir tacitamente com uma cláusula de que sequer possui conhecimento.

A abrangência da legislação, no entanto, vai além disso. A lei, então, aborda questões acerca dos usos desses dados, limitando as atividades das empresas e visando assegurar direitos como a liberdade, a privacidade e a personalidade, em uma adaptação das normas aos contextos atuais. Afinal como estabelece em seu artigo 17:

Art. 17.  Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

Conceitos da LGPDP

Um dos pontos importantes da legislação. para o direito digital. é a preocupação em estabelecer conceitos. Sobretudo quando se fala de meios digitais, é preciso compreender os limites e significados dos termos utilizados. O que se entende por dados, por exemplo? Toda e qualquer informação fornecida?

É, assim, um meio de evitar-se tanto equívocos, quanto possíveis alegações que visem o cerceamento dos direitos protegidos.

conceitos da lei geral de proteção de dados

O artigo 5º da Lei nº 13.709/18, então, define:

Dados

Segundo o artigo 5º da LGPDP, dados, no direito digital, podem significar:

  • Dado pessoal – informação relacionada a pessoa natural identificada ou identificável;
  • Dado anonimizado – dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Dado pessoal sensível – dado pessoal sobre:
    • origem racial ou étnica;
    • convicção religiosa;
    • opinião política;
    • filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
    • dado referente à saúde ou à vida sexual; e
    • dado genético ou biométrico, quando vinculado a uma pessoa natural;

Sujeitos e órgãos

O artigo 5º da Lei Geral de Proteção de Dados conceitua os seguintes termos, utilizados no âmbito do direito digital para definir sujeitos e órgãos atuantes nas relações jurídicas:

  • Titular – pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Agentes de tratamento:
    • Controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
    • Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Encarregado – pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
  • Autoridade nacional – órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.
  • Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

Ações

São ações relativas ao direito digital, conceituadas pelo artigo 5º:

  • Tratamento – toda operação realizada com dados pessoais, como as que se referem a:
    • coleta;
    • produção;
    • recepção;
    • classificação;
    • utilização;
    • acesso;
    • reprodução;
    • transmissão;
    • distribuição;
    • processamento;
    • arquivamento;
    • armazenamento;
    • eliminação;
    • avaliação ou controle da informação;
    • modificação;
    • comunicação;
    • transferência;
    • difusão;
    • ou extração
  • Anonimização – utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Consentimento – manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • Bloqueio – suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
  • Eiminação – exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
  • Uso compartilhado de dados:
    • comunicação;
    • difusão;
    • transferência internacional – transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
    • interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

Instrumentos

São os instrumentos conceituados no artigo 5º da LGPDP de importância ao direito digital:

  • Banco de dados – conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • Relatório de impacto à proteção de dados pessoais – documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Impactos na prática jurídica

Os impactos da nova legislação são grandes, sobretudo em se tratando de direito digital. Todavia, a nova lei não impacta apenas diretamente redes sociais e afins, como se inclina a pensar. Pelo contrário, como mencionado, o uso de dados é geral.

Qualquer empresa – ou negócio, como se prefira identificar – que colete dados de seus clientes e os armazene digitalmente deve observar as prescrições legais da LGPDP.

Estão incluídos, portanto, os escritórios de advocacia. Principalmente, porque os escritórios, cada vez mais, se inserem no mundo digital, seja para a conquista e fidelização de clientes ou pela gestão do escritório. Afinal, o conceito de controlador de dados não exclui a sociedade ou os profissionais de Direito.

Entenda, então, alguns pontos específicos dos impactos da legislação na prática jurídica:

Consentimento

A importância da questão do consentimento já foi abordada anteriormente. E em uma sociedade pautada em práticas neoliberais, não poderia diferente. Em um negócio jurídico, a manifestação de vontade das partes é essencial. E por que seria diferente com a concessão de dados virtuais?

Ainda que seja comum o desconhecimento do usuário acerca da concessão de seus dados, permanece a característica de um contrato.O que a Lei Geral de Proteção de Dados visa modificar, portanto, é a proteção das condições desse consentimento, uma vez que, nos contexto atuais, ele é, muitas vezes, inexistente.

Nesse sentido, o artigo 8º da Lei 13.709/18 estabelece que o consentimento para uso dos dados “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Ou seja, as cláusulas deverão ser apresentadas aos usuários. Assim, poderão concordar expressamente com a utilização das informações coletadas.

Igualmente, o consentimento poderá ser revogado a qualquer momento, como defende o parágrafo 5º do mencionado artigo:

§ 5º  O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

Dessa maneira, é facultado ao usuário, a qualquer tempo, requisitar que seus dados sejam eliminados, independentemente do consentimento fornecido em dado momento, observadas, por óbvio, as disposições legais.

Cabe ressaltar, ainda, que o artigo 7º da Lei 13.709/18 prevê hipóteses independentes do consentimento, mas que, de todo modo, devem observar requisitos previstos em lei. 

Fiscalização

Como observado, a Lei nº 13.709/18 previa a instituição de uma autoridade nacional responsável pela fiscalização da aplicação da lei. Todavia, o projeto de criação da chamada Agência Nacional de Proteção de Dados (ANPD) foi vetado pelo então presidente Michel Temer. Apesar da previsão de uma autoridade, ainda se espera pela solução dessa lacuna.

Enquanto isso, fica o Poder Judiciário responsável pela análise e observação dos dispositivos legais. Portanto, uma vez que os conflitos são levados a juízo, o papel do advogado no direito digital ganha cada vez mais importância. A área emerge, assim, como um campo promissor em demandas, sobretudo enquanto as interpretações sobre a nova legislação não forem pacificadas. Dessarte, a argumentação jurídica será essencial para o desenvolvimento do ramo.

Proteção de dados jurídicos

Quando os escritórios coletam dados de seus clientes, através das redes sociais, utilizadas em estratégias de networking, ou mesmo fornecidas contratualmente pelos clientes, também devem estar atentos às novas regras. Claro, não se pode ignorar as regras já existentes e pertinentes à advocacia, uma vez que o próprio Estatuto da Advocacia prevê o dever do sigilo e da proteção dos dados fornecidos.

Nesse sentido, o artigo 34 da Lei 8.906/94 e seu inciso VII prevê que constitui infração a violação, sem justa causa, do sigilo profissional. Do mesmo, estabelece o Código de Ética da OAB.

Ainda assim, como a nova legislação acerca do direito digital influencia o cotidiano do advogado além da defesa dos casos levados a juízo?

Em primeiro lugar, as estratégias de marketing jurídico e de proteção dos dados devem ser revisadas. Medidas de segurança podem ser tomadas no armazenamento, como proteção nos sites e utilização de softwares jurídicos confiáveis.

Em segundo lugar, é importante cientificar aos titulares dos dados sob as possíveis utilizações de seus dados.

Sanções aos controladores e operadores dos dados

Com o intuito de tornar eficazes as previsões legais, a LGPDP também estabelece sanções àqueles que causarem dano no tratamento dos dados pessoais. Assim, dispõe o artigo 42 da Lei 13.709/18 acerca da responsabilidade de indenização:

Art. 42.  O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º  A fim de assegurar a efetiva indenização ao titular dos dados:

  1. o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
  2. os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.

Percebe-se portanto, que a legislação se preocupa em caracterizar a responsabilidade sobre o dano como solidária entre os agentes de tratamento (operador e controlador) quando:

  • o operador descumprir normas de proteção de dados;
  • o operador não seguir as instruções lícitas do controlador;
  • o controlador estiver diretamente envolvido no tratamento realizado pelo operador e do qual resulte o dano.

Cabe mencionar, por fim, que o juiz pode determinar a inversão do ônus da prova caso entenda ser verossímil a alegação do titular dos dados ou muito onerosa a prova.

Exceções à responsabilidade

Como o artigo 42 observa, existem exceções à responsabilidade de indenizar. Desse modo, eximem-se aqueles que comprovarem, conforme o artigo 43 da LGPDP:

  1. que não realizaram o tratamento de dados pessoais que lhes é atribuído;
  2. que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
  3. que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

É importante destacar, contudo, que a lei ainda não se encontra vigente. Conforme estabelecido, somente entrará em vigor 18 meses após a sua publicação, qual seja no dia 14 de agosto de 2018. As empresas, portanto, possuem até o início de 2020 para se adaptarem às novas regulamentações

Quer ficar por dentro de todas as novidades sobre Direito Digital? Faça seu cadastro e receba os materiais exclusivos do SAJ ADV em seu email.

 

>

Artigos relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *