Em tempos de globalização já consolidada, com a quebra do paradigma de acesso à informação, para a escolha e absorção de conhecimento, as relações sociais vêm sendo brutalmente pautadas pelo “parecer”.
Não que este fenômeno seja novo, há que se lembrar do filósofo francês Guy Debord, que já no século passado apontava a aparência como o foco de nossa sociedade, ou seja, para ele, a sociedade se importa como o que se aparenta, com o que se consegue mostrar aos outros de modo fazer com que a sociedade esteja mais preocupada com o mostrar do que realmente ter.
Na obra A Sociedade do Espetáculo, o filósofo traduz nossa vida social como: “A primeira fase da dominação da economia sobre a vida social levou, a definição de toda realização humana, a uma evidente degradação do ser no ter. A fase presente da ocupação total da vida social em busca da acumulação de resultados econômicos condiz com uma busca generalizada do ter e do parecer, de forma que o [ter] efetivo perde o seu prestígio imediato e a sua função última. Assim, toda a realidade individual se tornou social e diretamente dependente do poderio social obtido. Somente naquilo que ela não é, lhe é permitido aparecer.”
De fato, uma pena Debord ter nos deixado em 1994, sem que pudesse analisar os impactos de tantas exposição em redes sociais como facebook, twitter, instagran, entre outros, de qualquer forma, tal exposição da privacidade como forma de sucesso social corrobora seus escritos. Contudo, a exposição de nossos dados muitas vezes não se faz somente por vontade própria, todos os dias somos “obrigados” a fornecer nossos dados pessoais por diversos motivos, tais como, a necessidade de verificação de dados pessoais seja para compras, serviços, orientações, e qualquer tipo de cadastros, seja na internet ou pessoalmente.
Ou seja, nossa sociedade vem cada vez mais, expondo seus dados, intimidades, hábitos, localizações, intimidades de forma que, se criou a necessidade de tratamento, motivação e proteção do acesso aos dados pessoais.
Ocorre que, como sempre acontece, toda explosão de novos atos e/ou hábitos sociais acaba por gerar crises que devem ser contidas pelo Direito. De forma que a própria sociedade exige que o Direito seja invocado para nos limitar, regular e proteger.
Muitos foram os motivos para almejar uma lei que cuidasse especificamente da proteção de dados no Brasil, mas considerar que os dados pessoais estiveram em situação de absoluta desproteção até sua edição, é incorrer em equívoco. O ordenamento brasileiro se ocupou, por meio de leis próprias de caráter público e privado, para assegurar algum nível de proteção à privacidade de pessoas. Nesse sentido, as raízes da proteção de dados estão ligadas aos direitos da personalidade abrigados, na Constituição Federal, no Código Civil e perpassam pela Lei do Habeas Data, pelo Estatuto da Criança e do Adolescente, pelo Código de Defesa do Consumidor, pela Lei de Acesso à Informação, pela Lei do Cadastro Positivo e pelo Marco Civil da Internet.
Diversas são as legislações criadas para proteção de dados pessoais, podemos citar a lei europeia General Data Protection Regulation (GDPR), aprovada pelo Parlamento europeu em 2016 e em vigor desde maio de 2018 que deu base para nossa Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, que entrará em vigor em 16 de agosto de 2020.
Uma lei geral de proteção de dados pode ser definida, em termos gerais, como um marco regulatório que estabelece direitos e garantias para o cidadão em relação aos seus dados pessoais, independente de quem ou de que forma estes sejam tratados. Sendo a base de nosso regramento o artigo 2º que determina o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; os direitos humanos e o livre desenvolvimento da personalidade.
A ideia de “proteção” visa assegurar que o cidadão tenha a seu dispor meios para exercer efetivo controle sobre seus dados e, também, que todo o ecossistema em torno do tratamento de dados pessoais tenha contrapesos e incentivos para que danos aos cidadãos sejam evitados. Isto sem, contudo, impedir a inovação a partir do tratamento de tais dados, elemento fundamental da sociedade da informação.
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi redigida exclusivamente para tratamento de dados de pessoas físicas, disciplinando a forma como são coletados e tratados, em meios digitais e físicos, tais como dados pessoais de cadastro ou textos e fotos publicadas em redes sociais.
A LGPD aplica-se a qualquer empresa, pública ou privada, independentemente do meio, país de sua sede ou do país onde estejam localizados os dados, desde que:
(i) o tratamento seja realizado em território nacional;
(ii) tenha por objetivo, a oferta ou o fornecimento de bens ou serviços no território nacional;
(iii) os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.
Dentre os conceitos legais, é importante destacarmos como a legislação nacional tem pautado as definições e limites positivados.
A definição legal de Dados pessoal é a informação relacionada a pessoa natural identificada ou identificável. Assim, extrai-se que, para que uma informação seja considerada dado pessoal e esteja, portanto, sujeita ao regime previsto na LGPD, ela necessariamente deve ser relacionada a uma pessoa natural, e deve ser identificada ou identificável, portanto, estão excluídos de tal regime os dados pseudonimizados.
Além disso, a lei estabelece um regime específico para o tratamento[1] dos chamados Dados Pessoais Sensíveis, definidos como dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Neste sentido, a lei proíbe o processamento deste tipo de dado, excetuado apenas nas seguintes hipóteses:
(a) Existir expresso consentimento do titular do dado ou de seu responsável legal, para finalidades específicas;
(b) O processamento seja necessário para cumprimento de obrigação legal ou regulatória pelo controlador;
(c) O processamento seja necessário por razões de substancial interesse público, desde que as políticas públicas estejam previstas em lei ou regulamento;
(d) O processamento seja necessário em razão de interesse público na realização na realização de pesquisa científica, histórica ou estatística;
(e) O processamento seja para o exercício regular de direitos, em nível extrajudicial ou judicial;
(f) O processamento seja necessário em razão de interesse público na área da saúde, inclusive para a proteção da vida e da incolumidade física do titular; ou
(g) O processamento seja necessário para garantia da prevenção à fraude e à segurança do titular.
Portanto, fora das exceções previstas nos itens (b) a (g) apresentados, para que um dado sensível possa ser tratado, é essencial que tenha sido obtido previamente o consentimento do titular, de forma livre, inequívoca, informada, expressa e específica.
Desta forma perguntamos, o que é consentimento?
Consentimento é definido como manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Assim como o regramento europeu, um dos grandes pilares da LGPD é a exigência do consentimento do titular para o tratamento de dados. Este deverá ser fornecido de forma positiva, livre (sem nenhum tipo de pressão ou coação), inequívoca (sem deixar dúvidas de que o titular consentiu com o tratamento), informada (comunicando de forma específica os tipos, as finalidades e as implicações de tratamento), expressa (apresentando indicação clara e objetiva quanto à concordância do titular com o tratamento dos dados e suas implicações), e específica (individualizando para o titular o exato propósito do tratamento).
O consentimento poderá ser fornecido mediante a validação de uma opção ao se visitar um site na Internet, ou por meio de uma declaração ou conduta que indique com clareza que o titular aceita o tratamento de seus dados pessoais na forma proposta. O silêncio, opções pré-validadas ou a omissão não deverão, por conseguinte, ser interpretados como um consentimento.
Além disso, o consentimento deverá abranger todas e cada uma das atividades de tratamento a serem realizadas pelos agentes de tratamento, de modo que, no caso de tratamento para finalidades múltiplas, deverá ser dado um consentimento para cada uma delas.
A Lei dispensa o consentimento para os dados tornados manifestamente públicos pelo titular.
Explicaremos neste momento quais são os Princípios que norteiam tanto a Lei Geral de Proteção de Dados:
Princípio da finalidade – Direito ao tratamento adstrito aos propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Destarte, baseia-se na existência de fim comum e necessário para que possa acessar os dados, não podendo sem motivo justificado alguém acessar um dado pessoal ou pessoal sensível.
Princípio da adequação: Direito ao tratamento adequado, compatível com as finalidades informadas ao titular de acordo com o contexto do tratamento. Este Princípio é o permeará a maior quantidade de trabalho para aqueles que devem implementar a lei, vez que há que se entender incialmente de quer forma devemos armazenar, dar acesso e proteger o dado que esteja em nosso poder.
Princípio da necessidade: Direito à limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento.
Assim, alinhado com o Princípio da Finalidade, há que se entender o que motiva solicitar um dado, ou seja, ao implementar uma Política de LGPD a primeira pergunta que se deve fazer é: Será que realmente eu preciso deste dado? Vamos dar como exemplo um paciente que entra em um hospital para fazer uma cirurgia. A atendente precisa saber se o paciente concorda em receber sangue caso necessite. Como se sabe há religiões que orientam seus fiéis a não fazer transfusão, assim, saber a religião daria uma pista para a não realização de transfusão naquela pessoa, ou seja, teria que solicitar um dado sensível. Uma boa intervenção para este procedimento é mudar a pergunta, ou seja, ao invés que questionar qual a religião do paciente e ter que proteger este dado, a atendente deve diretamente perguntar: Você se opõe a fazer uma transfusão caso necessário? Deste modo, sequer teremos um dado a proteger.
Princípio do livre acesso: Direito à consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais. Outro ponto sensível da lei, vez que além de tratar o dado, aquele que tiver se dado coletado terá direito saber como, onde, por quanto tempo seu dado será tratado.
Princípio da qualidade dos dados: Direito à exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade para o cumprimento da finalidade de seu tratamento.
Princípio da transparência: Direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
Princípio da segurança: Direito à segurança dos dados, ao qual se contrapõe o dever, por parte dos agentes de tratamento, de utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Princípio da prevenção: Direito à adequada prevenção de danos, ao qual se contrapõe o dever, por parte dos agentes de tratamento, de adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Princípio da não discriminação: Direito de não ser discriminado de forma ilícita ou abusiva.
Princípio da responsabilização e prestação de contas: Direito de exigir a adequada responsabilização e a prestação de contas por parte dos agentes de tratamento, ao qual se contrapõe o dever, por parte destes, de adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Esperamos ter colaborado minimamente para que possamos entender as origens e princípios da legislação. Em nosso próximo artigo abordaremos os direitos e deveres dos titulares dos dados e daqueles que os manipulam.
[1] Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração